Поддельные программы-вымогатели названы соответствующим образом

В дикой природе появилась новая программа-вымогатель, но на самом деле она не соответствует определению программы-вымогателя.

На самом деле вымогатель Fake только переименовал файл, что сбивает с толку, и не выполняет никакого фактического шифрования. В то время как большинство вариантов программ-вымогателей шифруют файлы управляемым образом, а оператор программы-вымогателя должен иметь инструмент дешифрования, который можно использовать для расшифровки файлов жертвы, некоторые штаммы предполагаемых «программ-вымогателей», такие как Fake, просто уничтожают ваши данные. Fake, с другой стороны, просто переименовывает ваши файлы таким образом, что делает их неузнаваемыми.

Подделка была обнаружена на вредоносных веб-сайтах, распространяемых, в частности, под именем «SexyPhotos.JPG.exe». Вредоносное ПО сбрасывает четыре исполняемых файла и один пакетный файл во временный каталог системы. Пакетный файл создает копии исполняемых файлов в папке автозагрузки, чтобы обеспечить сохранение.

Один из трех исполняемых файлов запускается и запускает фактический процесс изменения файла. Зашифрованные файлы переименовываются с префиксом имени и расширением «.Locked_file» и порядковыми номерами.

Записка о выкупе создается и помещается в файл «Readme.txt».

Когда исследователи изучили файл до и после шифрования, они обнаружили, что изменилось только имя файла, а содержимое файла осталось неизменным.

Поддельные программы-вымогатели по-прежнему могут вызывать серьезные проблемы, поскольку файлы будут неузнаваемы после процесса переименования.