Škodlivé webové stránky pre dospelých tlačia falošný ransomvér, ktorý v skutočnosti funguje ako stierač, ktorý sa pokúša vymazať takmer všetky údaje vo vašom zariadení.
Aj keď nie je jasné, ako aktéri hrozby propagovali webové stránky, všetci používali mená hostiteľov, ktoré naznačovali, že ponúkajú nahé fotografie, ako napríklad nude-girlss.mywire.[.]org, sexyphotos.kozow[.]com, a sexy-fotka[.]Online
Podľa spravodajskej agentúry Sybil, ktorá ako prvá informovala o kampani, webové stránky automaticky vyzvú používateľov, aby si stiahli spustiteľný súbor s názvom SexyPhotos.JPG.exe, ktorý sa maskuje ako fotografia vo formáte JPG.
Ak však Systém Windows štandardne zakazuje prípony súborovPoužívateľ vidí súbor s názvom SexyPhotos.JPG v priečinku Stiahnuté súbory a dvakrát naň klikne, pričom si môže myslieť, že ide o obrázok.
Po spustení falošný ransomvér uloží štyri spustiteľné súbory (del.exe, open.exe, windll.exe a windowss.exe) a dávkový súbor (avtstart.bat) do adresára %temp% používateľa a spustí ich.
Dávkový súbor nainštaluje stálosť skopírovaním štyroch spustiteľných súborov do priečinka Po spustení systému Windows.
Ďalej sa spustí “windows.exe” na odstránenie troch ďalších súborov vrátane “windows.bat”, ktorý vykoná premenovanie. Typy súborov a priečinky, na ktoré sa zameriava dávkový súbor, sú uvedené v tabuľke nižšie.
som
Výsledkom je premenovanie všetkých súborov všeobecnými názvami ako ‘Lock_6.fille’. Takže aj keď sa obsah týchto súborov nezmení alebo zašifruje, obete nebudú mať ako zistiť svoje skutočné mená.
Poznámky o výkupnom zahodí “windll.exe” na rôznych miestach s názvom “Readme.txt”.
Poznámka požadovala platbu vo výške 300 dolárov v bitcoinoch do troch dní, pričom hrozilo jej zdvojnásobenie na 600 dolárov na predĺžené obdobie siedmich dní, po ktorých budú všetky súbory na útočníkovom serveri natrvalo odstránené.
V skutočnosti tento falošný ransomvér neukradol žiadne údaje a ako už bolo spomenuté, je nepravdepodobné, že by autor malvéru vytvoril nástroj na obnovu súborov.
“Aj keď je poskytnutý decryptor, nie je možné premenovať súbory na ich pôvodné názvy, pretože malvér ich počas infekcie nikam neuloží.” Cyble komentuje správu.
Prestrojený stierač údajov
Zdá sa však, že malvér nie je ransomvér a bol navrhnutý iba na používanie falošného šifrovania ako návnady pri odstraňovaní takmer všetkých súborov na disku.
Cyble zistil, že po vykonaní falošného šifrovania sa malvér pokúša spustiť „dell.exe“, ale kvôli chybe v názvoch, ktorá namiesto toho vynecháva „del.exe“, tento krok nefunguje vo vzorkách, ktoré Cyble vidí.
Ak aktéri hrozieb opravia túto drobnú chybu, “dell.exe” odstráni všetky systémové jednotky [A:\ – Z:\] Okrem jednotky C:\.
Nakoniec malvér spustí súbor „open.exe“, ktorý stiahne a spustí súbor „open.bat“, ktorý sa následne pripojí k adrese URL „hxxps“.[:]//llllllllll.loseyourip[.]com/downloads“ a potom otvorí poznámku o výkupnom.
Tento falošný ransomvér je skvelým príkladom toho, ako môže neopatrnosť viesť k strate údajov, a to aj v dôsledku chybného a neočakávaného škodlivého softvéru.
Jedným z možných spôsobov, ako sa zotaviť z tohto škodlivého softvéru, je obnoviť váš operačný systém do predchádzajúceho stavu, pretože falošný ransomvér nevymaže tieňové kópie.
Samozrejme, stále môže prísť o dáta v závislosti od dátumu posledného bodu obnovenia.
Vo všeobecnosti by bolo najlepšou praxou pravidelné zálohovanie vašich najdôležitejších údajov, pretože preinštalovanie operačného systému by malo byť najrýchlejšou cestou z tohto problému.
