Porno sajtovi inficiraju računare posetilaca lažnim ransomwareom koji briše sve podatke sa zaraženih uređaja

Vesti, 17.10.2022, 10:00 AM

Porno sajtovi inficiraju računare posetilaca lažnim ransomwareom koji briše sve podatke sa zaraženih uređaja

Firma za sajber bezbednost Cyble upozorila je na porno veb sajtove koji inficiraju uređaje korisnika lažnim ransomwareom koji zapravo briše skoro sve podatke sa zaraženog uređaja.

Nije jasno kako su sajtovi reklamirani, ali imena sajtova - nude-girlss.mywire[.]org, sexyphotos.kozow[.]com, i sexy-photo[.]online jasno govore o kakvim se sajtovima radi.

Ovi veb sajtovi automatski traže od korisnika da preuzmu izvršni fajl pod nazivom SexyPhotos.JPG.exe. Međutim, pošto Windows podrazumevano ne prikazuje ekstenzije fajlova, korisnik vidi fajl pod nazivom SexyPhotos.JPG u folderu Downloads i verovatno bi ga otvorio misleći da je to slika.

Nakon pokretanja, lažni ransomware ostavlja na uređaju četiri exe fajla (del.exe, open.exe, windll.exe i windowss.exe) i fajl avtstart.bat u %temp% direktorijumu i pokreće ih. Sva četiri exe fajla kopiraju se u Windows Startup folder.

Svi fajlovi na računaru biće preimenovani u generičko ime, kao što je “Lock_6.fille”. Iako sadržaj fajlova nije modifikovan ili šifrovan, žrtve nemaju načina da otkriju njihova originalna imena.

„windll.exe“ ostavlja poruku o otkupnini na različitim mestima u fajlu pod imenom „Readme.txt“.

U poruci se zahteva uplata od 300 dolara u bitkoinima u roku od tri dana, uz pretnju da će se taj iznos udvostručiti na 600 dolara za produženi rok od sedam dana, nakon čega će svi fajlovi biti trajno izbrisani na serveru napadača. Međutim, lažni ransomware nije ukrao nikakve podatke, ali je malo verovatno da oni koji stoje iza ove kampanje imaju alat koji bi žrtvama pomogao da vrate fajlove.

„Čak i ako je obezbeđen dešifrator, preimenovanje fajlova u njihovo originalno ime je nemoguće jer ih malver ne skladišti nigde tokom infekcije“, navodi Cyble u izveštaju.

Lažni ransomware samo koristi lažnu enkripciju kao mamac dok obriše skoro sve fajlove na zaraženom disku.

Cyble je otkrio da nakon lažne enkripcije, malver pokušava da pokrene „dell.exe“, ali zbog greške koju su napravili autori malvera, ovaj korak ne funkcioniše. Ako napadači poprave grešku, „dell.exe“ će se pokrenuti da izbriše sve sistemske diskove osim diska C:.

Ovaj lažni ransomvare je odličan primer kako se lako mogu izgubiti podaci čak i uz pomoć lošeg, nesofisticiranog malvera.

Mogući način da se popravi šteta je da se OS vrati u prethodno stanje pošto lažni ransomware ne briše kopije u senci. Naravno, ovo i dalje može dovesti do gubitka podataka, u zavisnosti od datuma poslednje tačke vraćanja. Redovno pravljenje rezervnih kopija najvažnijih podataka bi bila najbolja praksa, jer bi ponovna instalacija OS-a trebalo da bude najbrži izlaz iz ovakve situacije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

LastPass objavio da je ponovo hakovan, kompanija tvrdi da su lozinke korisnika bezbedne

LastPass objavio da je ponovo hakovan, kompanija tvrdi da su lozinke korisnika bezbedne

Karim Tuba, izvršni direktor LastPassa, menadžera lozinki koji ima više od 25 miliona korisnika, objavio je da tim za bezbednost kompanije trenutno... Dalje

Agencije za zaštitu privatnosti istražuju tvrdnje o curenju telefonskih brojeva 487 miliona korisnika WhatsAppa

Agencije za zaštitu privatnosti istražuju tvrdnje o curenju telefonskih brojeva 487 miliona korisnika WhatsAppa

Tvrdnje da su stotine miliona telefonskih brojeva korisnika WhatsAppa procurile privukle su pažnju regulatora za zaštitu podataka. U oglasu na haker... Dalje

Acer laptop računari imaju grešku koju hakeri mogu iskoristiti za preuzimanje potpune kontrole nad uređajem

Acer laptop računari imaju grešku koju hakeri mogu iskoristiti za preuzimanje potpune kontrole nad uređajem

Acer je objavio ažuriranje firmwarea da bi rešio bezbednosnu ranjivost koja bi se mogla iskoristiti da bi se isključio UEFI Secure Boot na ranjivim... Dalje

Na hakerskom forumu prodaju se podaci 500 miliona korisnika WhatsAppa, među ukradenim podacima i podaci korisnika iz Srbije

Na hakerskom forumu prodaju se podaci 500 miliona korisnika WhatsAppa, među ukradenim podacima i podaci korisnika iz Srbije

Na jednom hakerskom forumu, koji se pojavio kao alternativa sada ugašenom Raidforums prodaje se 487 miliona brojeva mobilnih telefona korisnika Whats... Dalje

Ruske hakerske grupe ukrale više od 50 miliona lozinki za Steam, Roblox, Amazon i PayPal naloge

Ruske hakerske grupe ukrale više od 50 miliona lozinki za Steam, Roblox, Amazon i PayPal naloge

34 ruske hakerske grupe ukrale su najmanje 50 miliona lozinki u prvih sedam meseci 2022. uz pomoć malvera koji kradu informacije, kao što su RedLine... Dalje