恶意成人网站推送虚假勒索软件,实际上,它充当了一个擦除器,悄悄地试图删除您设备上的几乎所有数据。
虽然尚不清楚威胁行为者是如何宣传这些网站的,但他们都使用表明他们提供裸照的主机名,例如nude-girlss.mywire[.]org、sexyphotos.kozow[.]com 和sexy-photo[ 。]在线的。
据最先报道该活动的威胁情报公司 Cyble 称,这些网站会自动提示用户下载一个名为 SexyPhotos.JPG.exe 的可执行文件,该文件会模拟 JPG 图像。
然而,由于 Windows 默认禁用文件扩展名,用户会在他们的下载文件夹中看到一个名为 SexyPhotos.JPG 的文件,并可能双击它,认为它是一张图片。
启动后,假勒索软件会在用户的 %temp% 目录中放置四个可执行文件(del.exe、open.exe、windll.exe 和 windowss.exe)和一个批处理文件(avtstart.bat)并运行它们。
批处理文件通过将所有四个可执行文件复制到 Windows 启动文件夹来建立持久性。
接下来,执行“windowss.exe”以删除三个附加文件,包括执行重命名的“windows.bat”。批处理文件所针对的文件类型和文件夹如下表所示
。
结果是将所有文件重命名为通用名称,例如“Lock_6.fille”。因此,虽然这些文件的内容没有被修改或加密,但受害者将无法弄清楚它们的原始名称。
赎金记录由“windll.exe”以“Readme.txt”的名称放在不同位置。
该票据要求在三天内支付 300 美元的比特币,并威胁在 7 天的延长期限内将其翻倍至 600 美元,之后将在攻击者的服务器上永久删除所有文件。
实际上,这个假勒索软件并没有窃取任何数据,而且如前所述,恶意软件作者不太可能开发出恢复文件的工具。
“即使提供了解密器,也不可能将文件重命名为其原始文件名,因为恶意软件在感染期间不会将它们存储在任何地方,” Cyble 在报告中评论道。
伪装的数据擦除器
但是,该恶意软件似乎不是勒索软件,其设计目的只是使用虚假加密作为诱饵,同时删除驱动器上的几乎所有文件。
Cyble 发现,在执行虚假加密后,恶意软件会尝试执行“dell.exe”,但由于命名错误导致删除“del.exe”,因此该步骤在 Cyble 看到的样本中不起作用。
如果威胁者修复了这个小错误,“dell.exe”将运行以从 [A:\ – Z:\] 中删除所有系统驱动器,但 C:\ 驱动器除外。
最后,恶意软件执行“open.exe”,它会丢弃并运行“open.bat”,然后连接到 URL“hxxps[:]//lllllllllll.loseyourip[.]com/downloads”,然后打开赎金票据。
这种伪造的勒索软件是一个很好的例子,说明粗心大意会导致数据丢失,即使是有缺陷的、简单的恶意软件也是如此。
从该恶意软件中恢复的一种可能方法是将您的操作系统恢复到以前的状态,因为假勒索软件不会删除卷影副本。
当然,这仍然可能导致数据丢失,具体取决于上次还原点的日期。
一般来说,最好的做法是定期备份最重要的数据,因为重新安装操作系统应该是解决这个问题的最快方法。
