Nep-ransomware wordt passend genoemd

Er is een nieuwe ransomware in het wild, maar in werkelijkheid voldoet deze niet echt aan de definitie van ransomware.

In werkelijkheid hernoemde de nep-ransomware alleen een bestand op een manier die verwarrend is en geen echte codering uitvoert. Hoewel de meeste ransomware-varianten bestanden op een beheerde manier zouden versleutelen en de ransomware-operator een decoderingstool zou hebben die kan worden gebruikt om de bestanden van het slachtoffer te decoderen, vernietigen sommige soorten vermeende "ransomware", zoals Fake, eenvoudigweg uw gegevens. Nep, aan de andere kant, hernoemt uw bestanden op een manier die ze onherkenbaar maakt.

Er is nep ontdekt op kwaadaardige websites die onder andere worden verspreid onder de naam "SexyPhotos.JPG.exe". De malware plaatst vier uitvoerbare bestanden en een enkel batchbestand in de tijdelijke directory van het systeem. Het batchbestand maakt kopieën van de uitvoerbare bestanden in de map Opstarten om persistentie te garanderen.

Een van de drie uitvoerbare bestanden wordt gestart en start het daadwerkelijke proces voor het wijzigen van bestanden. Gecodeerde bestanden worden hernoemd met een naamvoorvoegsel en de extensie ".Locked_file" en krijgen opeenvolgende nummers.

Er wordt een losgeldbrief gegenereerd en in een "Readme.txt"-bestand geplaatst.

Toen onderzoekers een bestand voor en na codering onderzochten, ontdekten ze dat alleen de bestandsnaam was gewijzigd en dat de inhoud van het bestand ongewijzigd bleef.

De Fake ransomware kan nog steeds grote problemen veroorzaken omdat bestanden onherkenbaar zijn na het hernoemen.