Fake Ransomware

サイバー犯罪者は、アダルト コンテンツや年齢制限のあるコンテンツを提供していると思われる破損した Web サイトを介して、ランサムウェアを装ったマルウェアの脅威を拡散しています。被害者のデバイスでアクティブ化されると、脅威は追跡されます。これは、偽のランサムウェアが、影響を受けたデータを回復不能な状態にするワイパーにより密接に作用するためです。兵器化された Web サイトには、sexyphotos.kozow(dot)com、nude-girlss.mywire(dot)org、sexy-photo(dot)online などの名前が付いています。

攻撃操作に関する詳細を最初に公開したサイバーセキュリティ研究者によると、これらのサイトは、不快な画像ファイルとして提示されるもののダウンロードを自動的にアクティブにすることで、ユーザーを騙します。ユーザーがダウンロードを受け入れると、「SexyPhotos.JPG.exe」という名前の実行可能ファイルがドロップされ、コンピューター上でアクティブ化されます。

偽のランサムウェアの詳細

このファイルが実行されると、被害者のデバイスに 4 つの実行可能ファイルと 1 つのバッチ ファイルがドロップされます。バッチ ファイルは、4 つの実行可能ファイルすべてを Windows のスタートアップ フォルダーにコピーすることで永続性を確立する役割を担っています。完全に確立されると、偽のランサムウェアは、70 を超える異なるファイル拡張子と複数の特別に選択されたフォルダーをターゲットにします。対象のすべてのファイルとフォルダーは、元の名前が「Locked_[数値].Locked_fille」に変更され、使用できない状態になります。ただし、暗号化は行われないことに注意してください。この脅威には、そのまま残されるファイル拡張子を含む除外リストもあります。

身代金メモとワイプメカニック

すべてのターゲットの名前変更が完了すると、偽のランサムウェアは「Readme.txt」という名前のテキスト ファイルをデバイスにドロップします。その後、ファイルは多数の異なるフォルダーにコピーされ、画面上で自動的に開かれます。身代金メモには、英語、ドイツ語、スペイン語、フランス語、トルコ語など、複数の言語で説明が記載されています。攻撃者は、被害者のファイルが暗号化されており、影響を受けたユーザーがデータを復元したい場合、300 ドルの身代金を支払う必要があると述べています。価格は攻撃の 3 日後に 2 倍の 600 ドルになり、7 日後には復号化コードが削除され、ロックされたファイルはすべて復元できなくなります。

ただし、前述したように、偽のランサムウェアには暗号化ルーチンがありません。その結果、この脅威は元のファイル名の記録を保持しないため、攻撃者でさえ影響を受けたファイルを復元できる可能性は非常に低くなります。