Szkodliwe oprogramowanie typu ransomware szyfruje pliki na komputerze ofiary, a następnie wyświetla komunikat informujący o konieczności wpłaty określonej kwoty, dzięki czemu zostanie przekazany klucz deszyfrujący. Jakby tego było mało, osoba której zaszyfrowano dane ma na zapłatę jedynie kilka dni.
Producenci programów antywirusowych oraz eksperci ds. bezpieczeństwa starają się tworzyć narzędzia umożliwiające przywrócenie plików, jednak mimo wielu sukcesów, nie zawsze jest to możliwe (dlatego tak istotne jest tworzenie regularnych kopii zapasowych plików i systemu). Jak donosi serwis Bleeping Computer[1], pojawiła się wersja ransomware o nazwie vxCrypter, która nie tylko szyfruje, ale również usuwa zduplikowane pliki.
Pliki, które są zduplikowane zostają usunięte. Jak podaje autor analizy, początkowo sądził on, że jest to niezamierzony błąd twórców, jednak po dokładniejszym sprawdzeniu przez innego badacza okazało się, że jest to intencjonalne działanie.
Ransomware sprawdza hashe (SHA256) każdego pliku, który ma zaszyfrować i jeżeli wykryje drugi taki sam hash, zostaje on (plik) usunięty, a nie zaszyfrowany. Usuwanie plików nie dotyczy m.in. plików wykonywalnych.
Nie jest do końca znany powód takiego działania, ale jedną z możliwości jest chęć przyspieszenia procesu szyfrowania danych.
[1]https://www.bleepingcomputer.com/news/security/vxcrypter-is-the-first-ransomware-to-delete-duplicate-files/
