Fałszywe oprogramowanie ransomware ma odpowiednią nazwę

Pojawiło się nowe oprogramowanie ransomware, ale w rzeczywistości nie jest ono zgodne z definicją ransomware.

W rzeczywistości fałszywe oprogramowanie ransomware zmieniło tylko nazwę pliku w sposób, który jest mylący i nie wykonuje żadnego faktycznego szyfrowania. Podczas gdy większość wariantów ransomware szyfrowałaby pliki w sposób zarządzany, a operator ransomware posiadałby narzędzie deszyfrujące, którego można użyć do odszyfrowania plików ofiary, niektóre odmiany rzekomego „ransomware”, takie jak Fake, po prostu niszczą Twoje dane. Z drugiej strony Fake, po prostu zmienia nazwy plików w sposób, który czyni je nierozpoznawalnymi.

Fake został zauważony na szkodliwych stronach internetowych rozpowszechnianych między innymi pod nazwą „SexyPhotos.JPG.exe”. Szkodnik umieszcza cztery pliki wykonywalne i jeden plik wsadowy w katalogu tymczasowym systemu. Plik wsadowy tworzy kopie plików wykonywalnych w folderze Autostart, aby zapewnić trwałość.

Jeden z trzech plików wykonywalnych jest uruchamiany i rozpoczyna właściwy proces zmiany plików. Zaszyfrowane pliki są zmieniane za pomocą prefiksu nazwy i rozszerzenia „.Locked_file” oraz nadawane są kolejne numery.

Żądanie okupu jest generowane i umieszczane w pliku „Readme.txt”.

Kiedy badacze zbadali plik przed i po zaszyfrowaniu, odkryli, że zmieniono tylko nazwę pliku, a zawartość pliku pozostała niezmieniona.

Fałszywe oprogramowanie ransomware może nadal powodować poważne problemy, ponieważ pliki będą nierozpoznawalne po procesie zmiany nazwy.