Signalé par un chercheur en sécurité d'AVG Technologies, le ransomware Hitler semble être en phase de développement selon l'analyse de Bleeping Computer. Contrairement à ce qu'il prétend, il ne chiffre pas les fichiers de l'utilisateur Windows pris pour cible mais supprime les extensions de tous les fichiers dans certains dossiers.

Il affiche un écran de verrouillage avec une image de Adolf Hitler puis lance un compte à rebours d'une heure. Sur cette image, on remarquera la faute de frappe avec une allusion au Hitler-Ransonware au lieu de Hitler-Ransomware.

Autre curiosité, pour éviter son action destructrice après le délai d'une heure, il n'est pas demandé le paiement d'une rançon en bitcoins mais l'achat d'une carte Vodafone d'une valeur de 25 € et la saisie du code idoine. Ce n'est toutefois pas la première fois qu'un ransomware fait une demande de paiement farfelue. FLocker exige par exemple le paiement de 200 $ en cartes cadeaux iTunes.

Après une heure, l'ordinateur plante via un arrêt du processus csrss.exe ou un BSoD peut être affiché. Plusieurs mécanismes sont en fait mis en jeu pour forcer un redémarrage de l'ordinateur et opérer la suppression des fichiers de l'utilisateur sous l'action de firefox32.exe qui se révèle être en réalité un script Batch.

L'échantillon analysé du ransomware Hitler était apparemment une simple version de test. Des évolutions et améliorations sont donc possibles pour parvenir à une version plus aboutie. Son auteur serait allemand.