Cyberthreat.id – Peneliti keamanan dari perusahaan keamanan siber Cyble, menggungkapkan bahwa sejumlah situs web dewasa menyebarkan ransomware palsu yang diam-diam menghapus hampir semua data di perangkat pengguna.

Dikutip dari Bleeping Computer, menurut peneliti aktor dibalik kampanye tersebut menggunakan nama host yang menunjukkan bahwa mereka menawarkan foto telanjang, seperti nude-girlss.mywire[.]org, sexyphotos.kozow[.]com, dan sexy-photo[ .]on line. Mereka juga secara otomatis meminta pengguna untuk mengunduh file yang dapat dieksekusi bernama SexyPhotos.JPG.exe yang meniru gambar JPG.

“Namun, karena Windows menonaktifkan ekstensi file secara default, pengguna akan melihat file bernama SexyPhotos.JPG di folder Unduhan mereka dan kemungkinan mengklik dua kali di atasnya, mengira itu adalah gambar,” kata peneliti.

Saat diluncurkan, ransomware palsu menjatuhkan empat executable (del.exe, open.exe, windll.exe, dan windowss.exe) dan satu file batch (avtstart.bat) di direktori %temp% pengguna dan menjalankannya. File batch menetapkan ketekunan dengan menyalin keempat executable ke folder Windows Startup.

Selanjutnya, “windowss.exe” akan dijalankan untuk menjatuhkan tiga file tambahan, termasuk “windows.bat” yang bertugas untuk melakukan penggantian nama. Jenis file dan folder yang ditargetkan oleh file batch.

Hasilnya adalah penggantian nama semua file menjadi nama umum, seperti 'Lock_6.fille'. Jadi, sementara isi file-file ini belum dimodifikasi atau dienkripsi, para korban tidak akan tahu nama aslinya. Catatan tebusan dijatuhkan oleh "windll.exe" di berbagai lokasi dengan nama "Readme.txt."

“Catatan itu menuntut pembayaran $300 dalam Bitcoin dalam tiga hari, mengancam akan menggandakannya menjadi $600 untuk tenggat waktu tujuh hari yang diperpanjang, setelah itu semua file akan dihapus secara permanen di server penyerang,” kata peneliti.

Pada kenyataannya, ransomware palsu ini tidak mencuri data apa pun, dan seperti yang disebutkan sebelumnya, kecil kemungkinan pembuat malware telah mengembangkan alat untuk memulihkan file. Bahkan jika decryptor disediakan, mengganti nama file ke nama file aslinya tidak mungkin karena malware tidak menyimpannya di mana pun selama infeksi.

Namun peneliti menilai bahwa itu malware tersebut tampaknya bukan ransomware dan dirancang hanya untuk menggunakan enkripsi palsu sebagai umpan sambil menghapus hampir semua file di drive pengguna. Cyble menemukan bahwa setelah melakukan enkripsi palsu, malware mencoba mengeksekusi “dell.exe”.

Tetapi karena kesalahan penamaan yang mengakibatkan menjatuhkan "del.exe", langkah ini tidak berfungsi dalam sampel yang dilihat oleh Cyble. Jika pelaku ancaman memperbaiki kesalahan kecil ini, “dell.exe” akan berjalan untuk menghapus semua drive sistem dari [A:\ – Z:\] kecuali untuk drive C:\.