O falso ransomware é nomeado apropriadamente

Existe um novo ransomware à solta, mas, na realidade, ele não está realmente em conformidade com a definição de ransomware.

Na realidade, o ransomware Fake apenas renomeou um arquivo de uma maneira confusa e não faz nenhuma criptografia real. Enquanto a maioria das variantes de ransomware criptografa os arquivos de maneira gerenciada e o operador do ransomware possui uma ferramenta de descriptografia que pode ser usada para descriptografar os arquivos da vítima, algumas cepas de suposto "ransomware", como o Fake, simplesmente destroem seus dados. Fake, por outro lado, apenas renomeia seus arquivos de uma maneira que os torna irreconhecíveis.

Fake foi detectado em sites maliciosos distribuídos sob o nome "SexyPhotos.JPG.exe", entre outros. O malware descarta quatro executáveis e um único arquivo de lote no diretório temporário do sistema. O arquivo em lote faz cópias dos executáveis na pasta de inicialização para garantir a persistência.

Um dos três executáveis é iniciado e inicia o processo real de alteração do arquivo. Os arquivos criptografados são renomeados com um prefixo de nome e uma extensão ".Locked_file" e números sequenciais.

Uma nota de resgate é gerada e colocada dentro de um arquivo "Readme.txt".

Quando os pesquisadores examinaram um arquivo antes e depois da criptografia, descobriram que apenas o nome do arquivo foi alterado e o conteúdo do arquivo permaneceu inalterado.

O ransomware Fake ainda pode causar grandes problemas porque os arquivos ficarão irreconhecíveis após o processo de renomeação.