ΑρχικήsecurityΨεύτικοι ιστότοποι για ενήλικες ωθούν data wiper μεταμφιεσμένους σε ransomware

Ψεύτικοι ιστότοποι για ενήλικες ωθούν data wiper μεταμφιεσμένους σε ransomware

Κακόβουλοι ιστότοποι με περιεχόμενο για ενήλικες, φέρεται ότι προωθούν ψεύτικο ransomware το οποίο, στην πραγματικότητα λειτουργεί ως wiper που προσπαθεί αθόρυβα να διαγράψει σχεδόν όλα τα δεδομένα μιας συσκευής.

Δείτε επίσης: BlackByte ransomware: Χρησιμοποιεί την νέα τεχνική BYOVD

wiper

Αν και δεν είναι σαφές πώς οι hackers προωθούν αυτούς τους ιστότοπους, φαίνεται ότι κάποιοι χρησιμοποιούν ονόματα που παραπέμπουν σε γυμνές φωτογραφίες, όπως τα nude-girlss.mywire[.]org, sexyphotos.kozow[.]com και sexy-photo[ .]online.

Σύμφωνα με την εταιρεία ασφάλειας Cyble, η οποία ανέφερε για πρώτη φορά το φαινόμενο, οι ιστότοποι προτρέπουν αυτόματα τους χρήστες να κατεβάσουν ένα εκτελέσιμο αρχείο με το όνομα SexyPhotos.JPG.exe, που υποτίθεται ότι είναι μια εικόνα JPG.

Έτσι καθώς τα Windows απενεργοποιούν τις επεκτάσεις αρχείων από προεπιλογή, ο χρήστης βλέπει απλά ένα αρχείο με το όνομα SexyPhotos.JPG στον φάκελο “Λήψεις” του και πιθανότατα θα το άνοιγε αμέσως, νομίζοντας ότι πρόκειται για μία εικόνα.

Κατά την εκκίνηση, το ψεύτικο ransomware ρίχνει τέσσερα εκτελέσιμα αρχεία (del.exe, open.exe, windll.exe και windowss.exe) και ένα αρχείο batch (avtstart.bat) στον κατάλογο %temp% του χρήστη και στη συνέχεια τα εκτελεί.

Το αρχείο batch εγγυάται την επιμονή, αντιγράφοντας και τα τέσσερα εκτελέσιμα αρχεία στον φάκελο εκκίνησης των Windows.

Στη συνέχεια, το “windowss.exe” εκτελείται για την απόρριψη τριών επιπλέον αρχείων, συμπεριλαμβανομένου του “windows.bat“, το οποίο εκτελεί τη μετονομασία.

Δείτε ακόμα: Avast: Εργαλείο αποκρυπτογράφησης για το Hades ransomware
ransomware

Το αποτέλεσμα είναι η μετονομασία όλων των αρχείων σε ένα γενικό όνομα, όπως “Lock_6.fille“. Έτσι, ενώ τα περιεχόμενα αυτών των αρχείων δεν έχουν τροποποιηθεί ή κρυπτογραφηθεί, τα θύματα δεν έχουν τρόπο να καταλάβουν τα αρχικά τους ονόματα.

Τα σημειώματα για λύτρα απορρίπτονται από το “windll.exe” σε διάφορες τοποθεσίες με το όνομα “Readme.txt“.

Το σημείωμα απαιτεί πληρωμή 300 $ σε Bitcoin μέσα σε τρεις ημέρες, απειλώντας να διπλασιαστεί στα 600 $ αν η προθεσμία επεκταθεί στις επτά μέρες. Αν και αυτό το χρονικό περιθώριο παρέλθει τότε όλα τα αρχεία θα διαγραφούν οριστικά.

Στην πραγματικότητα, αυτό το ψεύτικο ransomware δεν έχει κλέψει δεδομένα και είναι απίθανο ο δημιουργός του κακόβουλου λογισμικού, να έχει αναπτύξει ένα εργαλείο για την ανάκτηση των αρχείων.

Ωστόσο, το κακόβουλο λογισμικό δεν φαίνεται να είναι ransomware και σχεδιάστηκε μόνο για να χρησιμοποιεί την κρυπτογράφηση ως δόλωμα, ενώ είναι ένα wiper που διαγράφει σχεδόν όλα τα αρχεία στις μονάδες δίσκου σας.

Αυτό το ψεύτικο ransomware είναι ένα εξαιρετικό παράδειγμα του πώς η απροσεξία μπορεί να οδηγήσει σε απώλεια δεδομένων.

Δείτε επίσης: Το Cheerscrypt ransomware συνδέεται με την ομάδα hacking Emperor Dragonfly

Ένας πιθανός τρόπος ανάκαμψης από αυτό το κακόβουλο λογισμικό θα ήταν να επαναφέρετε το λειτουργικό σύστημα σας σε προηγούμενη κατάσταση, καθώς το ψεύτικο ransomware δεν διαγράφει shadow copies.

Γενικά, η τακτική δημιουργία αντιγράφων ασφαλείας των πιο σημαντικών δεδομένων σας θα ήταν η βέλτιστη πρακτική, καθώς η επανεγκατάσταση του λειτουργικού συστήματος είναι ο πιο γρήγορος τρόπος για να αντιμετωπίσετε ένα πρόβλημα data wiper.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS