Fake Ransomware heter lämpligt

Det finns ett nytt ransomware ute i naturen, men i verkligheten överensstämmer det inte riktigt med definitionen av ransomware.

I verkligheten döpte Fake ransomware bara om en fil på ett sätt som är förvirrande och inte gör någon faktisk kryptering. Medan de flesta ransomware-varianter skulle kryptera filer på ett hanterat sätt och ransomware-operatören skulle ha ett dekrypteringsverktyg som kan användas för att dekryptera offrets filer, förstör vissa stammar av påstådd "ransomware" som Fake helt enkelt din data. Fake, å andra sidan, byter bara namn på dina filer på ett sätt som gör dem oigenkännliga.

Fake har upptäckts på skadliga webbplatser som bland annat distribueras under namnet "SexyPhotos.JPG.exe". Skadlig programvara släpper fyra körbara filer och en enda batchfil i systemets temporära katalog. Batchfilen gör kopior av de körbara filerna i Startup-mappen för att säkerställa beständighet.

En av de tre körbara filerna startas och startar själva filändringsprocessen. Krypterade filer döps om med ett namnprefix och filtillägget ".Locked_file" och ges sekventiella nummer.

En lösennota genereras och släpps in i en "Readme.txt"-fil.

När forskare undersökte en fil före och efter kryptering upptäckte de att endast filnamnet ändrades och filens innehåll förblev oförändrat.

Den falska ransomwaren kan fortfarande orsaka stora problem eftersom filerna kommer att vara oigenkännliga efter byte av namn.