Gefälschte Ransomware wird entsprechend benannt

Es gibt eine neue Ransomware in freier Wildbahn, aber in Wirklichkeit entspricht sie nicht wirklich der Definition von Ransomware.

In Wirklichkeit hat die gefälschte Ransomware eine Datei nur auf verwirrende Weise umbenannt und keine tatsächliche Verschlüsselung vorgenommen. Während die meisten Ransomware-Varianten Dateien auf verwaltete Weise verschlüsseln und der Ransomware-Betreiber über ein Entschlüsselungstool verfügt, mit dem die Dateien des Opfers entschlüsselt werden können, zerstören einige Arten angeblicher „Ransomware“ wie Fake einfach Ihre Daten. Fake hingegen benennt Ihre Dateien nur so um, dass sie nicht wiederzuerkennen sind.

Fake wurde auf bösartigen Websites entdeckt, die unter anderem unter dem Namen „SexyPhotos.JPG.exe“ verbreitet werden. Die Malware legt vier ausführbare Dateien und eine einzelne Batch-Datei im Temp-Verzeichnis des Systems ab. Die Stapeldatei erstellt Kopien der ausführbaren Dateien im Autostart-Ordner, um die Persistenz sicherzustellen.

Eine der drei ausführbaren Dateien wird gestartet und startet den eigentlichen Dateiänderungsprozess. Verschlüsselte Dateien werden mit einem Namenspräfix und einer „.Locked_file“-Erweiterung umbenannt und mit fortlaufenden Nummern versehen.

Eine Lösegeldforderung wird generiert und in einer „Readme.txt“-Datei abgelegt.

Als Forscher eine Datei vor und nach der Verschlüsselung untersuchten, stellten sie fest, dass nur der Dateiname geändert wurde und der Inhalt der Datei unverändert blieb.

Die gefälschte Ransomware kann immer noch große Probleme verursachen, da Dateien nach dem Umbenennungsprozess nicht mehr erkennbar sind.