Fake Ransomware heter passende

Det er en ny løsepengevare ute i naturen, men i virkeligheten samsvarer den ikke med definisjonen av løsepengevare.

I virkeligheten ga den falske løsepengevaren bare nytt navn til en fil på en måte som er forvirrende og ikke gjør noen faktisk kryptering. Mens de fleste løsepengevarevarianter vil kryptere filer på en administrert måte, og løsepengevareoperatøren ville ha et dekrypteringsverktøy som kan brukes til å dekryptere offerets filer, ødelegger enkelte stammer av påstått "ransomware" som Fake ganske enkelt dataene dine. Fake, derimot, gir bare nytt navn til filene dine på en måte som gjør dem ugjenkjennelige.

Falsk har blitt oppdaget på ondsinnede nettsteder distribuert under navnet "SexyPhotos.JPG.exe" blant andre. Skadevaren slipper fire kjørbare filer og en enkelt batchfil i systemets midlertidige katalog. Batchfilen lager kopier av de kjørbare filene i oppstartsmappen for å sikre utholdenhet.

En av de tre kjørbare filene startes og starter selve filendringsprosessen. Krypterte filer blir omdøpt med et navneprefiks og en ".Locked_file"-utvidelse og gitt sekvensnumre.

En løsepengenota genereres og slippes i en "Readme.txt"-fil.

Da forskere undersøkte en fil før og etter kryptering, oppdaget de at bare filnavnet ble endret og filens innhold forble uendret.

Den falske løsepengevaren kan fortsatt forårsake store problemer fordi filene vil være ugjenkjennelige etter endringsprosessen.