Ransomware Berbahaya di Situs Porno Palsu Bisa Hapus Data Pengguna

Sejumlah situs web dewasa palsu dilaporkan berbahaya karena mendorong ransomware yang secara diam-diam mencoba menghapus hampir semua data di perangkat pengguna.

Meskipun tidak jelas bagaimana para pelaku pengancam mempromosikan situs tersebut, mereka semua menggunakan nama host yang menunjukkan bahwa mereka menawarkan foto telanjang, seperti nude-girlss.mywire[.]org, sexyphotos.kozow[.]com, dan sexy-photo[ .]on line.

Menurut perusahaan intelijen keamanan Cyble, yang pertama kali melaporkan kampanye tersebut, situs web akan secara otomatis meminta pengguna untuk mengunduh file yang dapat dieksekusi bernama SexyPhotos.JPG.exe yang meniru gambar JPG.

Lihat Juga : Ahli Temukan 76 Kerangka Anak-anak Korban Tumbal di Peru

Pengguna akan melihat file bernama SexyPhotos.JPG di folder unduhan mereka, dan kemungkinan pengguna membuka file tersebut karena mengira itu adalah gambar.

Saat diluncurkan, ransomware palsu menyematkan empat executable files (del.exe, open.exe, windll.exe, dan windowss.exe) dan satu file batch (avtstart.bat) di direktori %temp% pengguna yang menjalankannya.

File batch menetapkan ketekunan dengan menyalin keempat executable ke folder Windows Startup.

Selanjutnya, "windowss.exe" dijalankan untuk menjatuhkan tiga file tambahan, termasuk "windows.bat," yang melakukan penggantian nama.

Hasilnya adalah penggantian nama semua file menjadi nama umum, seperti 'Lock_6.fille'. Jadi, saat isi file-file ini belum dimodifikasi atau dienkripsi, para korban tidak akan tahu nama asli filenya.

Pada kenyataannya, ransomware palsu ini tidak mencuri data apa pun, dan seperti yang disebutkan sebelumnya, kecil kemungkinan pembuat malware telah mengembangkan alat untuk memulihkan file.

"Bahkan jika decryptor disediakan, mengganti nama file ke nama file aslinya tidak mungkin karena malware tidak menyimpannya di mana pun selama infeksi," komentar Cyble dalam laporan tersebut .

Dikutip Bleeping Computer, malware tersebut tampaknya bukan ransomware yang dirancang untuk menggunakan enkripsi palsu, sebagai umpan sambil menghapus hampir semua file di drive Anda.

Cyble menemukan setelah melakukan enkripsi palsu, malware mencoba mengeksekusi "dell.exe", tetapi karena kesalahan penamaan yang mengakibatkan menjatuhkan "del.exe", langkah ini tidak berfungsi dalam sampel yang dilihat oleh Cyble.

Jika pelaku ancaman memperbaiki kesalahan kecil ini, "dell.exe" akan berjalan untuk menghapus semua drive sistem dari [A: - Z:] kecuali untuk drive C:.

Ransomware palsu ini adalah contoh yang sangat baik tentang bagaimana kecerobohan dapat menyebabkan hilangnya data, bahkan oleh malware dengan buggy yang tidak canggih.

Cara yang mungkin untuk memulihkan dari malware ini adalah dengan mengembalikan OS Anda ke keadaan sebelumnya. Hal itu karena ransomware palsu tidak menghapus salinan bayangan.

Secara umum, mencadangkan data secara rutin dinilai penting lantaran itu menjadi antisipasi terbaik. Sedangkan pemasangan ulang sistem operasi (OS) menjadi jalan keluar tercepat dari masalah ini.

[Gambas:Video CNN]