Porno sajtovi inficiraju računare posetilaca lažnim ransomwareom koji briše sve podatke sa zaraženih uređaja

Vesti, 17.10.2022, 10:00 AM

Firma za sajber bezbednost Cyble upozorila je na porno veb sajtove koji inficiraju uređaje korisnika lažnim ransomwareom koji zapravo briše skoro sve podatke sa zaraženog uređaja.

Nije jasno kako su sajtovi reklamirani, ali imena sajtova - nude-girlss.mywire[.]org, sexyphotos.kozow[.]com, i sexy-photo[.]online jasno govore o kakvim se sajtovima radi.

Ovi veb sajtovi automatski traže od korisnika da preuzmu izvršni fajl pod nazivom SexyPhotos.JPG.exe. Međutim, pošto Windows podrazumevano ne prikazuje ekstenzije fajlova, korisnik vidi fajl pod nazivom SexyPhotos.JPG u folderu Downloads i verovatno bi ga otvorio misleći da je to slika.

Nakon pokretanja, lažni ransomware ostavlja na uređaju četiri exe fajla (del.exe, open.exe, windll.exe i windowss.exe) i fajl avtstart.bat u %temp% direktorijumu i pokreće ih. Sva četiri exe fajla kopiraju se u Windows Startup folder.

Svi fajlovi na računaru biće preimenovani u generičko ime, kao što je “Lock_6.fille”. Iako sadržaj fajlova nije modifikovan ili šifrovan, žrtve nemaju načina da otkriju njihova originalna imena.

„windll.exe“ ostavlja poruku o otkupnini na različitim mestima u fajlu pod imenom „Readme.txt“.

U poruci se zahteva uplata od 300 dolara u bitkoinima u roku od tri dana, uz pretnju da će se taj iznos udvostručiti na 600 dolara za produženi rok od sedam dana, nakon čega će svi fajlovi biti trajno izbrisani na serveru napadača. Međutim, lažni ransomware nije ukrao nikakve podatke, ali je malo verovatno da oni koji stoje iza ove kampanje imaju alat koji bi žrtvama pomogao da vrate fajlove.

„Čak i ako je obezbeđen dešifrator, preimenovanje fajlova u njihovo originalno ime je nemoguće jer ih malver ne skladišti nigde tokom infekcije“, navodi Cyble u izveštaju.

Lažni ransomware samo koristi lažnu enkripciju kao mamac dok obriše skoro sve fajlove na zaraženom disku.

Cyble je otkrio da nakon lažne enkripcije, malver pokušava da pokrene „dell.exe“, ali zbog greške koju su napravili autori malvera, ovaj korak ne funkcioniše. Ako napadači poprave grešku, „dell.exe“ će se pokrenuti da izbriše sve sistemske diskove osim diska C:.

Ovaj lažni ransomvare je odličan primer kako se lako mogu izgubiti podaci čak i uz pomoć lošeg, nesofisticiranog malvera.

Mogući način da se popravi šteta je da se OS vrati u prethodno stanje pošto lažni ransomware ne briše kopije u senci. Naravno, ovo i dalje može dovesti do gubitka podataka, u zavisnosti od datuma poslednje tačke vraćanja. Redovno pravljenje rezervnih kopija najvažnijih podataka bi bila najbolja praksa, jer bi ponovna instalacija OS-a trebalo da bude najbrži izlaz iz ovakve situacije.