Fake Ransomware er navngivet passende

Der er en ny ransomware ude i naturen, men i virkeligheden er den ikke rigtig i overensstemmelse med definitionen af ransomware.

I virkeligheden omdøbte den falske ransomware kun en fil på en måde, der er forvirrende og ikke foretager nogen egentlig kryptering. Mens de fleste ransomware-varianter ville kryptere filer på en administreret måde, og ransomware-operatøren ville have et dekrypteringsværktøj, der kan bruges til at dekryptere ofrets filer, ødelægger nogle stammer af påstået "ransomware" såsom Fake simpelthen dine data. Fake, på den anden side, omdøber bare dine filer på en måde, der gør dem uigenkendelige.

Falsk er blevet opdaget på ondsindede websteder distribueret under navnet "SexyPhotos.JPG.exe" blandt andre. Malwaren dropper fire eksekverbare filer og en enkelt batchfil i systemets midlertidige bibliotek. Batchfilen laver kopier af de eksekverbare filer i mappen Startup for at sikre vedholdenhed.

En af de tre eksekverbare filer startes og starter selve filændringsprocessen. Krypterede filer omdøbes med et navnepræfiks og en ".Locked_file" filtypenavn og får sekventielle numre.

En løsesumseddel genereres og slippes i en "Readme.txt"-fil.

Da forskere undersøgte en fil før og efter kryptering, opdagede de, at kun filnavnet blev ændret, og filens indhold forblev uændret.

Den falske ransomware kan stadig forårsage store problemer, fordi filer vil være uigenkendelige efter omdøbningsprocessen.