Сайты для взрослых имитируют вымогательскую атаку

Исследователи компании Cyble обнаружили вредоносные сайты для взрослых, распространяющие вайперы, которые незаметно удаляют данные с устройств жертв.

При посещении веб-сайта пользователю автоматически предлагается загрузить исполняемый файл с именем «SexyPhotos.JPG.exe», который имитирует изображение в формате JPG.

Сайт для взрослых, загружающий вредоносное ПО

Из-за того, что Windows по умолчанию скрывает расширения файлов, пользователь видит файл с именем «SexyPhotos.JPG» в папке «Загрузки» и открывает его, думая, что это изображение.

При запуске поддельная программа-вымогатель доставляет 4 исполняемых EXE-файла и 1 командный BAT-файл в каталог пользователя «%temp%» и запускает их.

Файлы, доставленные вредоносным ПО

Пакетный файл обеспечивает сохранение в системе путем копирования всех EXE-файлов в папку автозагрузки Windows.

Затем вредоносное ПО переименовывает определенные типы файлов и папок в общее имя «Lock_6.fille». При этом содержимое файлов не зашифровывается, и жертва не может определить их первоначальные имена.

Переименованные файлы после поддельного шифрования

Заметка с требованием выкупа добавляется в разные места под именем «Readme.txt». В записке требуется заплатить $300 в биткойнах в течение 3-ех дней. Если жертва не заплатит вовремя, то сумма удвоится до $600 и срок увеличится до 7 дней, после чего все файлы будут безвозвратно удалены с сервера злоумышленника.

Записка с требованием выкупа

На самом деле эта поддельная программа-вымогатель не крадет данные. Скорее всего, у киберпреступника даже нет дешифратора.

Эксперты Cyble заявили, что даже если предоставляется дешифратор, переименование файлов в их исходное имя невозможно, поскольку вредоносное ПО нигде не сохраняет их во время заражения.

По словам исследователей, вредоносное ПО было разработано только в качестве приманки. На самом деле, программа просто удаляет все файлы на всех системных дисках, кроме диска «С:». После удаления данных на экране отображается записка о выкупе.

Для восстановления после атаки эксперты рекомендуют восстановить ОС до предыдущего состояния, поскольку поддельная программа-вымогатель не удаляет теневые копии.