nel file system NTFS, consentendo la creazione di file e cartelle, la modifica e la rinomina, l'eliminazione di file e cartelle appunto, in maniera atomica. L'NTFS Transaction è uno spazio isolato che consente agli sviluppatori di app per Windows di scrivere routine di file-output per le quali è sicuro o esito positivo completo o esito negativo completo. Nel dettaglio quindi il Doppelganging processa un eseguibile legittimo nelle transazioni NTFS quindi lo sovrascrive con un file dannoso. Questo meccanismo consente di ingannare gli strumenti di individuazione e gli antivirus, che "scambiano" così i processi dannosi come processi legittimi. Manipolando il modo stesso in cui Windows gestisce i passaggi dei file, gli attaccanti possono far passare azioni malevole come processi innocui anche se utilizzano codice dannoso conosciuto.
Altro vantaggio di questa tecnica è che non lascia tracce evidenti: ulteriore difficoltà per gli strumenti di rilevazione. Inutile dire che, una volta divenuti pubblici i dettagli di questo attacco, moltissimi attaccanti hanno iniziato a sfruttarlo nel tentativo di bypassare gli strumenti di sicurezza.
Synack attualmente colpisce sopratutto utenti negli Stati Uniti, in Kuwait, in Germania e in Iran. E' programmato per non colpire utenti provenienti da Russia, Ucraina, Bielorussia, Georgia, Kazakhistan, Uzbekistan, Armenia. SynAck, per individuare la provenienza dell'utente, confronta il layout della tastiera installata sul computer della vittima con una lista contenuta nel codice stesso del malware: quando (e se) viene individuata una corrispondenza, il ransomware si sospende per 30 secondi quindi richiama l'ExitProcesso per non avviare la criptazione dei file.
Oltre a ciò SynAck cerca di evitare di finire analizzato in qualche sandbox verificando la cartella da dove viene eseguito: se riscontra un tentativo di lancio dell'eseguibile dannoso da una cartella "sbagliata", SynAck si interrompe e si auto termina.
Non è attualmente risolvibile gratuitamente.
