Программы-вымогатели (ransomware) дают своим жертвам какую-то надежду на восстановление их файлов, однако их новая разновидность под названием Ranscam не оставляет и этого — она создана исключительно для вымогательства. По информации Cisco Talos, Ranscam — это небрежная имитация «честного» ransomware, такого как Cryptowall или TeslaCrypt, лишенная каких-либо функций расшифровки и восстановления файлов.
Как предполагает само название зловреда, Ranscam создан исключительно для мошенничества (scam переводится с английского как «мошенничество»). Исследователи Эдмунд Брумагин и Уоррен Мерсер, описавшие новый зловред, утверждают, что после заражения компьютера Ranscam взаимодействует с жертвой точно так же, как и другие его собратья: предлагает заплатить выкуп в размере 0,2 биткоина (130 долл.), чтобы вернуть файлы, которые, как утверждают злоумышленники, были перемещены в скрытый раздел диска и зашифрованы. Троян выводит на экран компьютера окно с кнопкой подтверждения платежа.
На самом деле Ranscam ничего не шифрует и не хранит ключи. Попав на компьютер, он просто удаляет файлы. Злоумышленники рассчитывают на то, что жертва не знает, что удалённые файлы потеряны навсегда, и всё равно заплатит. После нажатия на кнопку появляется сообщение: «Ваш платеж не подтвержден» с угрозой удаления одного файла при каждой неподтвержденной оплате. Это уведомление получают все жертвы независимо от того, заплатили они или нет.
К счастью, распространённость Ranscam ограничена и вряд ли его создатели много заработали. Жертвы зловреда будут не согласны, но всё же его появление может оказаться полезным, поскольку подрывает доверие ко всем приложениям-вымогателям, лишает их разработчиков дохода и стимула заниматься подобной деятельностью.
Ranscam — не единственный вымогатель, удаляющий файлы жертвы. К примеру, шифровальщик Jigsaw удаляет по 1 файлу в час, если требуемый выкуп не был выплачен вовремя.