Nowy rodzaj oprogramowania ransomware rozprzestrzenia się w Chinach, gdzie w ciągu ostatnich czterech dni zainfekowanych zostało już ponad 100 000 komputerów w wyniku ataku supply-chain.

Nowy wirus nie wymaga płatności okupu w Bitcoin’ach, zamiast tego atakujący żądają zapłaty 110 juanów (ok. 60 PLN) w ciągu 3 dni za pośrednictwem WeChat Pay – funkcji płatności oferowanej przez najpopularniejszy chiński komunikator.

W przeciwieństwie do WannaCry i NotPetya które spowodowały ogólnoświatowy chaos w zeszłym roku, nowy  ransomware został skierowany tylko do chińskich użytkowników. Poza szyfrowaniem danych obejmuje również możliwość kradzieży danych logowania kont użytkowników do popularnych stron internetowych, mediów społedznościowych oraz kont e-mailowych np. Alipay, NetEase 163, Baidu Cloud Disk, stron Jingdong (JD.com), Taobao, Tmall, AliWangWang i QQ.

Według chińskiej firmy zajmującej się cyberbezpieczeństwem Velvet Security, twórcy oprogramowania szyfrującego dodali złośliwy kod do oprogramowania “EasyLanguage” używanego przez dużą liczbę programistów. Złośliwie zmodyfikowane oprogramowanie wstrzykuje kod do każdej aplikacji i oprogramowania skompilowanego za jego pośrednictwem. Aby chronić się przed programami antywirusowymi złośliwy kod został podpisany zaufanym cyfrowym podpisem od Tencent Technologies.

Dobrą wiadomością jest fakt, że oprogramowanie szyfrujące zostało niedbale zaprogramowane. Notatka mówi, że pliki użytkowników zostały zaszyfrowane przy użyciu algorytmu szyfrowania DES, ale w rzeczywistości szyfruje dane przy użyciu operacji XOR i przechowuje kopię klucza lokalnie w systemie ofiary w folderze w następującej lokalizacji:  %user%AppDataRoamingunname_1989dataFileappCfg.cfg
Korzystając z tych informacji, firma Velvet stworzyła darmowe narzędzie do odszyfrowywania, które może łatwo odblokować zaszyfrowane pliki dla ofiar, bez konieczności płacenia okupu.

Źródło: https://thehackernews.com/2018/12/china-ransomware-wechat.html