I ricercatori di sicurezza hanno rilevato una serie di siti Web dannosi per adulti che spingono un falso ransomware, che in realtà è un tergicristallo dati.
Siti Web per adulti che spingono un falso ransomware
Invece di crittografare i dati della vittima, il ransomware funge da wiper, tentando di eliminare quasi tutti i dati trovati sul dispositivo compromesso.
I siti web promuovevano foto di nudo, ed erano ospitati su domini come nude-girlss.mywire[.]org, sexyphotos.kozow[.]con, e foto sexy[.]on-line.
"Il collegamento a questo sito Web potrebbe essere disponibile su siti di incontri che reindirizzano l'utente a scaricare il falso ransomware dopo averlo aperto. Il file eseguibile scaricato ha una doppia estensione es. SexyPhotos.JPG.exe e mascherato da file immagine come mostrato di seguito,", hanno affermato i ricercatori di Cyble. Questi siti Web richiedono alle potenziali vittime di scaricare ed eseguire il suddetto eseguibile.
Come già accennato, il malware agisce come un normale ransomware ma non crittografa alcun file. Tuttavia, mostra informazioni false che i file sono crittografati, chiedendo un riscatto da pagare per la loro presunta decrittazione.
I ricercatori Cyble hanno sottolineato che "non sono sicuri dell'autenticità del decryptor se il riscatto viene pagato". È interessante notare che anche se viene fornito uno strumento di decrittazione, non è possibile rinominare i file con i nomi file originali, poiché il malware non li memorizza da nessuna parte durante l'infezione.
Insomma, il malware non è un ransomware ma doveva assomigliare a uno, cercando di usare falso crittografia come esca durante l'eliminazione di quasi tutti i dati sui sistemi compromessi.