Fake Ransomware se nombra apropiadamente

Existe un nuevo ransomware, pero en realidad no se ajusta a la definición de ransomware.

En realidad, el ransomware falso solo cambió el nombre de un archivo de una manera que es confusa y no realiza ningún cifrado real. Si bien la mayoría de las variantes de ransomware encriptarían los archivos de manera administrada y el operador del ransomware poseería una herramienta de descifrado que se puede usar para descifrar los archivos de la víctima, algunas variedades de supuestos "ransomware" como Fake simplemente destruyen sus datos. Fake, por otro lado, simplemente cambia el nombre de sus archivos de una manera que los hace irreconocibles.

Se ha detectado una falsificación en sitios web maliciosos distribuidos bajo el nombre "SexyPhotos.JPG.exe", entre otros. El malware coloca cuatro ejecutables y un solo archivo por lotes en el directorio temporal del sistema. El archivo por lotes hace copias de los ejecutables en la carpeta de inicio para garantizar la persistencia.

Uno de los tres ejecutables se inicia y comienza el proceso real de modificación de archivos. Los archivos cifrados se renombran con un prefijo de nombre y una extensión ".Locked_file" y se les asignan números secuenciales.

Se genera una nota de rescate y se coloca dentro de un archivo "Readme.txt".

Cuando los investigadores examinaron un archivo antes y después del cifrado, descubrieron que solo se cambió el nombre del archivo y que el contenido del archivo permaneció sin cambios.

El ransomware falso aún puede causar problemas importantes porque los archivos serán irreconocibles después del proceso de cambio de nombre.