Il falso ransomware è chiamato in modo appropriato

Esiste un nuovo ransomware in circolazione, ma in realtà non è conforme alla definizione di ransomware.

In realtà, il falso ransomware ha rinominato un file solo in un modo che crea confusione e non esegue alcuna crittografia effettiva. Mentre la maggior parte delle varianti di ransomware crittografa i file in modo gestito e l'operatore del ransomware possiede uno strumento di decrittografia che può essere utilizzato per decrittografare i file della vittima, alcuni ceppi di presunti "ransomware" come Fake distruggono semplicemente i tuoi dati. Fake, d'altra parte, rinomina i tuoi file in un modo che li rende irriconoscibili.

Fake è stato individuato su siti Web dannosi distribuiti con il nome "SexyPhotos.JPG.exe", tra gli altri. Il malware rilascia quattro eseguibili e un singolo file batch nella directory temporanea del sistema. Il file batch esegue copie degli eseguibili nella cartella Esecuzione automatica per garantire la persistenza.

Uno dei tre eseguibili viene avviato e avvia l'effettivo processo di alterazione dei file. I file crittografati vengono rinominati con un prefisso del nome e un'estensione ".Locked_file" e vengono assegnati numeri sequenziali.

Una richiesta di riscatto viene generata e rilasciata all'interno di un file "Readme.txt".

Quando i ricercatori hanno esaminato un file prima e dopo la crittografia, hanno scoperto che solo il nome del file era stato modificato e il contenuto del file era rimasto invariato.

Il falso ransomware può comunque causare gravi problemi perché i file saranno irriconoscibili dopo il processo di ridenominazione.