Fake Ransomware

Les cybercriminels diffusent une menace malveillante se faisant passer pour un rançongiciel via des sites Web corrompus censés offrir du contenu réservé aux adultes et à une limite d'âge. Lorsqu'elle est activée sur les appareils des victimes, la menace est suivie car le Fake Ransomware agit plus étroitement qu'un essuie-glace qui laissera les données affectées dans un état irrécupérable. Les sites Web armés ont des noms similaires à sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org et sexy-photo(dot)online.

Selon les chercheurs en cybersécurité qui ont publié les premiers détails sur l'opération d'attaque, ces sites tromperont les utilisateurs en activant automatiquement le téléchargement de ce qui est présenté comme un fichier image torride. Si les utilisateurs acceptent le téléchargement, un fichier exécutable nommé 'SexyPhotos.JPG.exe' sera déposé et activé sur leurs ordinateurs.

Détails du Fake Ransomware

Une fois exécuté, le fichier déposera quatre fichiers exécutables et un fichier batch sur l'appareil de la victime. Le fichier de commandes est chargé d'établir la persistance en copiant les quatre exécutables dans le dossier de démarrage de Windows. Une fois pleinement établi, le Fake Ransomware ciblera plus de 70 extensions de fichiers différentes et plusieurs dossiers spécifiquement choisis. Tous les fichiers et dossiers ciblés verront leur nom d'origine remplacé par "Locked_[Number].Locked_fille", ce qui les laissera dans un état inutilisable. Cependant, gardez à l'esprit qu'aucun cryptage n'est en cours. La menace a également une liste d'exclusions contenant des extensions de fichiers qui resteront intactes.

La note de rançon et le mécanisme d'effacement

Une fois qu'il a fini de renommer toutes ses cibles, le Fake Ransomware déposera un fichier texte nommé "Readme.txt" sur l'appareil. Le fichier sera ensuite copié dans une multitude de dossiers différents, ainsi que automatiquement ouvert à l'écran. La note de rançon contient des instructions en plusieurs langues, dont l'anglais, l'allemand, l'espagnol, le français, le turc et plus encore. Les attaquants déclarent que les fichiers de la victime ont été cryptés et que les utilisateurs impactés devront désormais payer une rançon de 300 $ s'ils veulent restaurer leurs données. Le prix sera doublé à 600 $ 3 jours après les attaques, tandis qu'après 7 jours, les codes de décryptage seront supprimés et tous les fichiers verrouillés deviendront irrécupérables.

Cependant, comme nous l'avons dit précédemment, le Fake Ransomware n'a pas de routine de cryptage. Par conséquent, il est extrêmement peu probable que même les attaquants soient en mesure de restaurer les fichiers concernés car la menace ne conserve pas d'enregistrement des noms de fichiers d'origine.