Fake Ransomware
Los ciberdelincuentes están difundiendo una amenaza de malware que se hace pasar por ransomware a través de sitios web corruptos que supuestamente ofrecen contenido para adultos y con restricción de edad. Cuando se activa en los dispositivos de las víctimas, la amenaza se rastrea a medida que el Fake Ransomware actúa más cerca de un limpiador que dejará los datos afectados en un estado irrecuperable. Los sitios web armados tienen nombres similares a sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org y sexy-photo(dot)online.
Según los investigadores de ciberseguridad que dieron a conocer por primera vez los detalles sobre la operación de ataque, estos sitios engañarán a los usuarios activando automáticamente la descarga de lo que se presenta como un archivo de imagen obsceno. Si los usuarios aceptan la descarga, un archivo ejecutable llamado 'SexyPhotos.JPG.exe' se colocará y activará en sus computadoras.
Detalles Fake Ransomware
Cuando se ejecuta, el archivo soltará cuatro ejecutables y un archivo por lotes en el dispositivo de la víctima. El archivo por lotes tiene la tarea de establecer la persistencia copiando los cuatro ejecutables en la carpeta de inicio de Windows. Cuando esté completamente establecido, el Fake Ransomware apuntará a más de 70 extensiones de archivo diferentes y múltiples carpetas elegidas específicamente. Todos los archivos y carpetas objetivo cambiarán sus nombres originales a 'Locked_[NUmber].Locked_fille', lo que los dejará en un estado inutilizable. Sin embargo, tenga en cuenta que no se está realizando ningún cifrado. La amenaza también tiene una lista de exclusiones que contiene extensiones de archivo que permanecerán intactas.
La nota de rescate y el borrador mecánico
Una vez que haya terminado de cambiar el nombre de todos sus objetivos, Fake Ransomware colocará un archivo de texto llamado 'Readme.txt' en el dispositivo. Luego, el archivo se copiará en una multitud de carpetas diferentes y se abrirá automáticamente en la pantalla. La nota de rescate contiene instrucciones en varios idiomas, incluidos inglés, alemán, español, francés, turco y más. Los atacantes afirman que los archivos de la víctima han sido encriptados y que los usuarios afectados ahora tendrán que pagar un rescate de $300 si quieren restaurar sus datos. El precio se duplicará a $ 600 3 días después de los ataques, mientras que después de 7 días se eliminarán los códigos de descifrado y todos los archivos bloqueados se volverán insalvables.
Sin embargo, como dijimos anteriormente, Fake Ransomware no tiene una rutina de cifrado. Como resultado, es muy poco probable que incluso los atacantes puedan restaurar los archivos afectados porque la amenaza no mantiene un registro de los nombres de los archivos originales.
