Een nieuwe vorm van ransomware die zich Cryptographic Locker noemt en bestanden op besmette computers versleutelt blijkt de bestanden niet grondig te wissen en laat ook de Systeemherstelpunten staan, zodat slachtoffers zonder te betalen hun bestanden terug kunnen krijgen.

Eenmaal actief op een computer versleutelt Cryptographic Locker documenten, afbeeldingen en andere bestanden met AES-encryptie. Na het versleutelen van de bestanden verschijnt er een melding waarin wordt uitgelegd hoe slachtoffers het losgeld van 0,2 bitcoin, zo'n 74 euro, kunnen betalen. Ook de achtergrond wordt aangepast en meldt dat de bestanden versleuteld zijn. Hierbij wordt echter de naam van CryptoLocker gebruikt, een zeer beruchte ransomware-variant.

Zodra de infectie actief is worden ook deze programma's uitgeschakeld als de gebruiker die probeert te starten: Process Hacker, MalwareBytes, Spyhunter, Msconfig, Task Manager, Registry Editor, System Restore en Process Explorer. De ransomware blijkt echter geen "secure deletion" methode te gebruiken om te bestanden te wissen en laat ook de Systeemherstelpunten ongemoeid.

Daardoor kunnen gebruikers via een recovery tool de bestanden terugzetten of via een programma zoals Shadow Explorer de bestanden via de Shadow Volume Copies herstellen, zo meldt het forum Bleeping Computer, dat op deze pagina uitlegt hoe de bestanden zijn terug te krijgen.