بهتازگی باجافزار جدیدی شناسایی شده که به نظر میرسد هدف آن بجای اینکه فایلها را رمزنگاری کرده و باج درخواست کند، خراب کردن و از بین بردن فایلهای قربانیان است. این باجافزار RedEye نام داشته و به نظر میرسد توسط توسعهدهندگان باجافزارهای Annabelle و JigSaw توسعه داده شده است. این باجافزار جدید مانند دو باجافزار دیگر که توسط یک گروه توسعه داده شدهاند، حتی اگر به هیچ سود و منفعت مالی هم نرسند، در تلاش هستند تا فایلهای قربانیان را از بین ببرند.
اندازهی این باجافزار بسیار زیاد بوده و ۳۵ مگابایت گزارش شده است. بزرگی این بدافزار به دلیل وجود چندین فایل رسانهای است که در باینری آن تعبیه شده است. در بین این فایلها، ۳ فایل با پسوند .wav وجود دارد که هنگام اجرا شدن بدافزار، این فایلها پخش شده و قصد دارد قربانی را بترساند. نویسندهی بدافزار همچنین از روش های مبهمسازی ConfuserEx و فشردهسازی و دیگر شگردها استفاده کرده تا از فایل باینری باجافزار محافظت کند. یک باینری دیگر نیز در باجافزار تعبیه شده که قابلیت جایگزینی رکورد بوت اصلی (MBR) در سیستم را دارد.
باجافزار زمانیکه ماشین قربانی را آلوده کرد، برای سخت کردن فرآیند حذف بدافزار، کارهایی را انجام میدهد. به طور مثال Task Manager را غیرفعال کرده و درایوهای سیستم را مخفی میکند. باجافزار در ادامه یک پیغام باجخواهی به قربانی نشان داده و به او اطلاع میدهد که فایلها با الگوریتم AES256 رمزنگاری شده و برای بازیابی آنها باید به یک وبسایت مبتنی بر .onion مراجعه کرده و به آدرس کیفپول مشخصی، ۰٫۱ بیتکوین واریز کند تا در نهایت بتواند کلید رمزگشایی این فایلها را دریافت کند.
قربانی برای پرداخت این باج فقط ۴ روز مهلت دارد و مهاجم اعلام کرده اگر این مهلت بگذرد، میتواند بهطور کلی کامپیوتر قربانی را از کار بیندازد و تخریب کند. اگر قربانی از بین گزینهها گزینهی آخر را انتخاب کند، یک گیف نمایش داده شده و دکمهی «انجام بده» را مشاهده میکند که با کلیک بر روی این دکمه، باجافزار سیستم را مجددا راهاندازی کرده و MRB جایگزین خواهد شد.
در ادامه وقتی قربانی سیستم را روشن میکند، به او خوشامد گفته شده و اطلاع داده میشود که مهاجمان کار کامپیوتر را تمام کردهاند. محققان همچنین متوجه شدند که نویسندهی باجافزار برای رمزنگاری از AES256 استفاده نکرده و فایلها را بازنویسی کرده و یا با ۰ جایگزین کرده است. باجافزار به انتهای فایلهای رمزنگاریشده پسوند .RedEye را اضافه میکند.