Kötü niyetli yetişkinlere yönelik web siteleri, gerçekte cihazınızdaki neredeyse tüm verileri sessizce silmeye çalışan bir silecek görevi gören sahte fidye yazılımlarını zorlar.
Tehdit aktörlerinin web sitelerini nasıl tanıttıkları belli olmasa da, hepsi çıplak fotoğraflar sunduklarını belirten sunucu adlarını kullandılar, örneğin nude-girlss.mywire[.]org, sexyphotos.kozow[.]com ve seksi fotoğraf[.]internet üzerinden.
Kampanyayı ilk kez bildiren tehdit istihbarat firması Cyble’a göre, web siteleri otomatik olarak kullanıcılardan bir JPG görüntüsünü taklit eden SexyPhotos.JPG.exe adlı bir yürütülebilir dosyayı indirmelerini ister.
Ancak, Windows varsayılan olarak dosya uzantılarını devre dışı bırakırbir kullanıcı İndirilenler klasöründe SexyPhotos.JPG adlı bir dosya görür ve muhtemelen bir resim olduğunu düşünerek üzerine çift tıklar.
Başlatıldığında, sahte fidye yazılımı, kullanıcının %temp% dizinine dört yürütülebilir dosya (del.exe, open.exe, windll.exe ve windowss.exe) ve bir toplu iş dosyası (avtstart.bat) bırakır ve bunları çalıştırır.
Toplu iş dosyası, dört yürütülebilir dosyanın tümünü Windows Başlangıç klasörüne kopyalayarak kalıcılık sağlar.
Ardından, yeniden adlandırmayı gerçekleştiren “windows.bat” dahil olmak üzere üç ek dosyayı bırakmak için “windowss.exe” yürütülür. Toplu iş dosyası tarafından hedeflenen dosya türleri ve klasörler aşağıdaki tabloda verilmiştir.
Sonuç, tüm dosyaların ‘Lock_6.fille’ gibi genel bir adla yeniden adlandırılmasıdır. Böylece, bu dosyaların içeriği değiştirilmemiş veya şifrelenmemiş olsa da, kurbanların orijinal adlarını bulmalarının hiçbir yolu olmayacaktı.
Fidye notları “windll.exe” tarafından çeşitli konumlarda “Readme.txt” adı altında bırakılır.
Not, üç gün içinde Bitcoin olarak 300 dolarlık bir ödeme talep ediyor ve yedi günlük uzatılmış bir son tarih için iki katına çıkarak 600 dolara çıkarmakla tehdit ediyor, ardından tüm dosyalar saldırganın sunucusunda kalıcı olarak silinecek.
Gerçekte, bu sahte fidye yazılımı herhangi bir veri çalmamıştır ve daha önce de belirtildiği gibi, kötü amaçlı yazılım yazarının dosyaları kurtarmak için bir araç geliştirmesi pek olası değildir.
“Bir şifre çözücü sağlanmış olsa bile, kötü amaçlı yazılım bulaşma sırasında herhangi bir yerde saklamadığı için dosyaları orijinal dosya adlarıyla yeniden adlandırmak imkansız” Raporda Cyble yorumlar.
Kılık değiştirmiş bir veri silici
Ancak, kötü amaçlı yazılım fidye yazılımı gibi görünmüyor ve sürücülerinizdeki neredeyse tüm dosyaları silerken yalnızca sahte şifrelemeyi bir tuzak olarak kullanmak üzere tasarlandı.
Cyble, sahte şifrelemeyi gerçekleştirdikten sonra, kötü amaçlı yazılımın “dell.exe”yi çalıştırmayı denediğini ancak bunun yerine “del.exe”nin düşmesine neden olan bir adlandırma hatası nedeniyle, bu adımın Cyble tarafından görülen örnekte çalışmadığını keşfetti.
Tehdit aktörleri bu küçük hatayı düzeltirse, tüm sistem sürücülerini silmek için “dell.exe” çalışır. [A:\ – Z:\] C:\ sürücüsü hariç.
Son olarak, kötü amaçlı yazılım “open.exe”yi yürütür ve “open.bat”ı bırakır ve çalıştırır ve bu da “hxxps” URL’sine bağlanır.[:]//llllllllll.loseyourip[.]com/downloads” ve ardından fidye notunu açar.
Bu sahte fidye yazılımı, dikkatsizliğin buggy, karmaşık olmayan kötü amaçlı yazılımlar tarafından bile veri kaybına nasıl yol açabileceğinin mükemmel bir örneğidir.
Bu kötü amaçlı yazılımdan kurtulmanın olası bir yolu, sahte fidye yazılımı gölge kopyaları silmediğinden işletim sisteminizi önceki bir duruma geri yüklemek olabilir.
Elbette bu, son geri yükleme noktasının tarihine bağlı olarak veri kaybına neden olabilir.
Genel olarak, en önemli verilerinizin düzenli olarak yedeklenmesi en iyi uygulama olacaktır, çünkü bir işletim sisteminin yeniden yüklenmesi bu sorundan kurtulmanın en hızlı yolu olmalıdır.