Các chuyên gia bảo mật đã báo cáo một dòng phần mềm độc hại mới lan rộng ở Trung Quốc, mã độc đã nhanh chóng lây nhiễm hơn 100.000 PC chỉ sau bốn ngày. Thật không may, số lượng nhiễm trùng đang gia tăng nhanh chóng vì tin tặc xâm phạm chuỗi cung ứng. Thật thú vị khi lưu ý rằng phần mềm ransomware này yêu cầu các nạn nhân phải trả 110 nhân dân tệ (gần 14 Euro) bằng tiền chuộc thông qua WeChat Pay. "Vào ngày 1 tháng 12, phần mềm ransomware đầu tiên yêu cầu tiền chuộc" thanh toán WeChat "đã nổ ra ở nước này. 100.000 máy tính, không chỉ khóa máy tính. " đọc phân tích được công bố bởi công ty chống vi-rút Velvet Security "Tài liệu này cũng đánh cắp thông tin về hàng chục ngàn mật khẩu người dùng trên các nền tảng như Taobao và Alipay." Nạn nhân được nhắc trả tiền ransomware cho tài khoản WeChat của kẻ tấn công trong vòng 3 ngày để nhận khóa giải mã. Nếu nạn nhân không trả tiền cho ransomware trong một thời gian cụ thể, mã độc sẽ xóa khóa giải mã khỏi máy chủ C & C. Mã độc cũng thực hiện các khả năng đánh cắp mật khẩu, ransomware có thể đánh cắp thông tin xác thực của người dùng đối với các dịch vụ phổ biến của Trung Quốc, bao gồm dịch vụ email, dịch vụ email NetEase 163, Yahoo Cloud, Jingdong (JD.com), Taobao, Tmall, AliWangWang và QQ trang web. Các ransomware cũng thu thập thông tin về hệ thống bị nhiễm, bao gồm mô hình CPU, độ phân giải màn hình, thông tin mạng và danh sách các phần mềm được cài đặt. Theo các chuyên gia từ Velvet Security, tin tặc đã xâm phạm chuỗi cung ứng của phần mềm lập trình "EasyL Language" được sử dụng bởi một số lượng lớn các nhà phát triển ứng dụng. Phần mềm bị nhiễm độc được tin tặc sử dụng để tiêm mã độc vào mọi phần mềm được biên dịch thông qua phần mềm lập trình. Để tránh bị phát hiện, tác giả của mối đe dọa đã ký mã với một chứng chỉ kỹ thuật số đáng tin cậy được cấp từ Tencent Technologies và tránh mã hóa dữ liệu trong một số thư mục cụ thể, như "Tencent Games, Liên minh huyền thoại, tmp, rtl và chương trình. Tin vui cho Các nạn nhân là các nhà nghiên cứu đã có thể bẻ khóa ransomware, các chuyên gia phát hiện ra rằng phần mềm độc hại sử dụng mật mã XOR, thay vì DES, để mã hóa tệp, nó cũng lưu một bản sao của khóa giải mã cục bộ trên hệ thống của nạn nhân theo đường dẫn sau: % user% AppData Roaming unname_1989 dataFile appCfg.cfg Các chuyên gia của Velvet đã phát hành công cụ giải mã ransomware miễn phí có thể được sử dụng để giải mã các tài liệu được mã hóa bởi phần mềm độc hại. Họ đã báo cáo ransomware cho một lập trình viên phần mềm có tên "Luo". khám phá của họ cho chính quyền Trung Quốc.