Porno sajtovi inficiraju računare posetilaca lažnim ransomwareom koji briše sve podatke sa zaraženih uređaja
Vesti, 17.10.2022, 10:00 AM

Firma za sajber bezbednost Cyble upozorila je na porno veb sajtove koji inficiraju uređaje korisnika lažnim ransomwareom koji zapravo briše skoro sve podatke sa zaraženog uređaja.
Nije jasno kako su sajtovi reklamirani, ali imena sajtova - nude-girlss.mywire[.]org, sexyphotos.kozow[.]com, i sexy-photo[.]online jasno govore o kakvim se sajtovima radi.
Ovi veb sajtovi automatski traže od korisnika da preuzmu izvršni fajl pod nazivom SexyPhotos.JPG.exe. Međutim, pošto Windows podrazumevano ne prikazuje ekstenzije fajlova, korisnik vidi fajl pod nazivom SexyPhotos.JPG u folderu Downloads i verovatno bi ga otvorio misleći da je to slika.
Nakon pokretanja, lažni ransomware ostavlja na uređaju četiri exe fajla (del.exe, open.exe, windll.exe i windowss.exe) i fajl avtstart.bat u %temp% direktorijumu i pokreće ih. Sva četiri exe fajla kopiraju se u Windows Startup folder.
Svi fajlovi na računaru biće preimenovani u generičko ime, kao što je “Lock_6.fille”. Iako sadržaj fajlova nije modifikovan ili šifrovan, žrtve nemaju načina da otkriju njihova originalna imena.
„windll.exe“ ostavlja poruku o otkupnini na različitim mestima u fajlu pod imenom „Readme.txt“.
U poruci se zahteva uplata od 300 dolara u bitkoinima u roku od tri dana, uz pretnju da će se taj iznos udvostručiti na 600 dolara za produženi rok od sedam dana, nakon čega će svi fajlovi biti trajno izbrisani na serveru napadača. Međutim, lažni ransomware nije ukrao nikakve podatke, ali je malo verovatno da oni koji stoje iza ove kampanje imaju alat koji bi žrtvama pomogao da vrate fajlove.
„Čak i ako je obezbeđen dešifrator, preimenovanje fajlova u njihovo originalno ime je nemoguće jer ih malver ne skladišti nigde tokom infekcije“, navodi Cyble u izveštaju.
Lažni ransomware samo koristi lažnu enkripciju kao mamac dok obriše skoro sve fajlove na zaraženom disku.
Cyble je otkrio da nakon lažne enkripcije, malver pokušava da pokrene „dell.exe“, ali zbog greške koju su napravili autori malvera, ovaj korak ne funkcioniše. Ako napadači poprave grešku, „dell.exe“ će se pokrenuti da izbriše sve sistemske diskove osim diska C:.
Ovaj lažni ransomvare je odličan primer kako se lako mogu izgubiti podaci čak i uz pomoć lošeg, nesofisticiranog malvera.
Mogući način da se popravi šteta je da se OS vrati u prethodno stanje pošto lažni ransomware ne briše kopije u senci. Naravno, ovo i dalje može dovesti do gubitka podataka, u zavisnosti od datuma poslednje tačke vraćanja. Redovno pravljenje rezervnih kopija najvažnijih podataka bi bila najbolja praksa, jer bi ponovna instalacija OS-a trebalo da bude najbrži izlaz iz ovakve situacije.

Izdvojeno
WeTransfer ponovo menja uslove korišćenja nakon lavine kritika zbog korišćenja sadržaja za obuku AI

Korisnike WeTransfera, popularne platforme za slanje velikih fajlova, uznemirila je najava kompanije o promeni uslova korišćenja. Novi uslovi koriš... Dalje
Kako hakeri mogu prevariti Gemini i vas

Istraživači iz firme 0din uspeli su da prevare Google Gemini for Workspace da sam „poslušno“ izvršava skrivene komande ubačene u imej... Dalje
Grok‑4 hakovan samo dva dana posle javnog predstavljanja

Samo 48 sati nakon što je predstavljen javnosti, najnoviji veliki jezički model Grok-4 je „jailbreak-ovan“. Istraživači iz NeuralTrust... Dalje
TikTok ponovo pod istragom zbog prenosa podataka korisnika na servere u Kini
.jpg)
Irska Komisija za zaštitu podataka (DPC) pokrenula je novu istragu protiv TikTok-a zbog sumnje da se podaci evropskih korisnika i dalje prebacuju na ... Dalje
Koliko nas zapravo Google prati čak i kad mislimo da ne može?

Koliko nas zapravo Google prati čak i kad mislimo da ne može? Nova studija SafetyDetectives otkriva koliko je Google zapravo svuda oko nas na intern... Dalje
Pratite nas
Nagrade