Le faux ransomware est nommé de manière appropriée

Il existe un nouveau ransomware dans la nature, mais en réalité, il ne correspond pas vraiment à la définition de ransomware.

En réalité, le faux rançongiciel n'a renommé un fichier que d'une manière déroutante et n'effectue aucun cryptage réel. Alors que la plupart des variantes de ransomware crypteraient les fichiers de manière gérée et que l'opérateur du ransomware posséderait un outil de décryptage pouvant être utilisé pour décrypter les fichiers de la victime, certaines souches de "ransomware" présumés tels que Fake détruisent simplement vos données. Fake, en revanche, renomme simplement vos fichiers d'une manière qui les rend méconnaissables.

Fake a été repéré sur des sites Web malveillants distribués sous le nom de "SexyPhotos.JPG.exe" entre autres. Le logiciel malveillant dépose quatre exécutables et un seul fichier de commandes dans le répertoire temporaire du système. Le fichier de commandes fait des copies des exécutables dans le dossier de démarrage pour assurer la persistance.

L'un des trois exécutables est lancé et démarre le processus de modification de fichier proprement dit. Les fichiers cryptés sont renommés avec un préfixe de nom et une extension ".Locked_file" et des numéros séquentiels leur sont attribués.

Une note de rançon est générée et déposée dans un fichier "Readme.txt".

Lorsque les chercheurs ont examiné un fichier avant et après le cryptage, ils ont découvert que seul le nom du fichier avait été modifié et que le contenu du fichier restait inchangé.

Le faux rançongiciel peut toujours causer des problèmes majeurs car les fichiers seront méconnaissables après le processus de changement de nom.