- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
При посещении веб-сайта пользователю автоматически предлагается загрузить исполняемый файл с именем «SexyPhotos.JPG.exe», который имитирует изображение в формате JPG.
Из-за того, что Windows по умолчанию скрывает расширения файлов, пользователь видит файл с именем «SexyPhotos.JPG» в папке «Загрузки» и открывает его, думая, что это изображение.
При запуске поддельная программа-вымогатель доставляет 4 исполняемых EXE-файла и 1 командный BAT-файл в каталог пользователя «%temp%» и запускает их.
Пакетный файл обеспечивает сохранение в системе путем копирования всех EXE-файлов в папку автозагрузки Windows.
Затем вредоносное ПО переименовывает определенные типы файлов и папок в общее имя «Lock_6.fille». При этом содержимое файлов не зашифровывается, и жертва не может определить их первоначальные имена.
Заметка с требованием выкупа добавляется в разные места под именем «Readme.txt». В записке требуется заплатить $300 в биткойнах в течение 3-ех дней. Если жертва не заплатит вовремя, то сумма удвоится до $600 и срок увеличится до 7 дней, после чего все файлы будут безвозвратно удалены с сервера злоумышленника.
На самом деле эта поддельная программа-вымогатель не крадет данные. Скорее всего, у киберпреступника даже нет дешифратора.
Эксперты Cyble заявили, что даже если предоставляется дешифратор, переименование файлов в их исходное имя невозможно, поскольку вредоносное ПО нигде не сохраняет их во время заражения.
По словам исследователей, вредоносное ПО было разработано только в качестве приманки. На самом деле, программа просто удаляет все файлы на всех системных дисках, кроме диска «С:». После удаления данных на экране отображается записка о выкупе.
Для восстановления после атаки эксперты рекомендуют восстановить ОС до предыдущего состояния, поскольку поддельная программа-вымогатель не удаляет теневые копии.
