Pesquisadores de segurança detectaram vários sites adultos maliciosos que enviam um ransomware falso, que na realidade é um limpador de dados.
Sites adultos que enviam um ransomware falso
Em vez de criptografar os dados da vítima, o ransomware atua como um limpador, tentando excluir quase todos os dados encontrados no dispositivo comprometido.
Os sites promoviam fotos nuas, e foram hospedados em domínios como nude-girlss.mywire[.]org, fotossexy.kozow[.]com, e sexy-foto[.]conectados.
“O link deste site pode estar disponível em sites de namoro que redirecionam o usuário para baixar o ransomware falso após abri-lo. O arquivo executável baixado tem uma extensão dupla, ou seja,. SexyPhotos.JPG.exe e disfarçado como um arquivo de imagem, conforme mostrado abaixo,” disseram pesquisadores da Cyble. Esses sites solicitam que as vítimas em potencial baixem e executem o referido executável.
Como já mencionado, o malware age como um ransomware normal, mas não criptografa nenhum arquivo. Contudo, ele exibe informações falsas de que os arquivos estão criptografados, exigindo um resgate a ser pago por sua suposta descriptografia.
Os pesquisadores da Cyble apontaram que “não têm certeza sobre a autenticidade do decodificador se o resgate for pago”. Vale ressaltar que mesmo que uma ferramenta de descriptografia seja fornecida, renomear os arquivos para seus nomes de arquivo originais não é possível, pois o malware não os armazena em nenhum lugar durante a infecção.
Em conclusão, o malware não é ransomware, mas foi feito para se parecer com um, tentando usar falso criptografia como um chamariz ao excluir quase todos os dados em sistemas comprometidos.