Fake Ransomware
Cyberkriminelle verbreiten eine Malware-Bedrohung, die sich als Ransomware ausgibt, über beschädigte Websites, die angeblich nicht jugendfreie und altersbeschränkte Inhalte anbieten. Wenn sie auf den Geräten der Opfer aktiviert wird, wird die Bedrohung verfolgt, da die Fake Ransomware näher an einem Wiper arbeitet, der die betroffenen Daten in einem nicht wiederherstellbaren Zustand hinterlässt. Die bewaffneten Websites haben ähnliche Namen wie sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org und sexy-photo(dot)online.
Laut den Cybersicherheitsforschern, die zuerst Details über die Angriffsoperation veröffentlicht haben, werden diese Seiten Benutzer täuschen, indem sie automatisch den Download einer als anzügliche Bilddatei präsentierten Datei aktivieren. Wenn Benutzer den Download akzeptieren, wird eine ausführbare Datei mit dem Namen „SexyPhotos.JPG.exe“ abgelegt und auf ihren Computern aktiviert.
Fake Ransomware-Details
Bei der Ausführung legt die Datei vier ausführbare Dateien und eine Batch-Datei auf dem Gerät des Opfers ab. Die Batch-Datei hat die Aufgabe, die Persistenz herzustellen, indem alle vier ausführbaren Dateien in den Windows-Startordner kopiert werden. Wenn die gefälschte Ransomware vollständig eingerichtet ist, zielt sie auf über 70 verschiedene Dateierweiterungen und mehrere speziell ausgewählte Ordner ab. Die ursprünglichen Namen aller Zieldateien und -ordner werden in „Locked_[Number].Locked_fille“ geändert, wodurch sie in einem unbrauchbaren Zustand verbleiben. Beachten Sie jedoch, dass keine Verschlüsselung stattfindet. Die Bedrohung hat auch eine Ausschlussliste mit Dateierweiterungen, die intakt bleiben.
Der Lösegeldschein und der Wipe-Mechaniker
Nachdem die Umbenennung aller Ziele abgeschlossen ist, legt die gefälschte Ransomware eine Textdatei mit dem Namen „Readme.txt“ auf dem Gerät ab. Die Datei wird dann in eine Vielzahl verschiedener Ordner kopiert und automatisch auf dem Bildschirm geöffnet. Die Lösegeldforderung enthält Anweisungen in mehreren Sprachen, darunter Englisch, Deutsch, Spanisch, Französisch, Türkisch und mehr. Die Angreifer geben an, dass die Dateien des Opfers verschlüsselt wurden und betroffene Benutzer nun ein Lösegeld von 300 US-Dollar zahlen müssen, wenn sie ihre Daten wiederherstellen wollen. Der Preis wird 3 Tage nach den Angriffen auf 600 US-Dollar verdoppelt, während nach 7 Tagen die Entschlüsselungscodes gelöscht werden und alle gesperrten Dateien nicht mehr gerettet werden können.
Wie bereits erwähnt, verfügt die Fake Ransomware jedoch nicht über eine Verschlüsselungsroutine. Infolgedessen ist es äußerst unwahrscheinlich, dass selbst die Angreifer die betroffenen Dateien wiederherstellen können, da die Bedrohung die ursprünglichen Dateinamen nicht aufzeichnet.
