Τα περισσότερα Ransomware – κακόβουλο λογισμικό που κλειδώνει τις οθόνες των υπολογιστών και στη συνέχεια εκβιάζει για λύτρα – έχουν αναπτυχθεί στη Ρωσία και την Ουκρανία. Ωστόσο, οι ειδικοί της Symantec ανακάλυψαν μια ενδιαφέρουσα κινεζική εκδοχή του malware.
Η παραλλαγή του Ransomlock που αναλύθηκε από την Symantec, περιέχει το Trojan.Ransomlock.AF, και έχει αναπτυχθεί σε εύκολη γλώσσα προγραμματισμού. Διανέμονται κυρίως μέσω της δημοφιλής εφαρμογής IM.
Μόλις μολύνει έναν υπολογιστή, το κακόβουλο λογισμικό αλλάζει τον κωδικό πρόσβασης των Windows του τρέχοντος χρήστη σε “tan123456789.” Επιπλέον, αλλάζει το όνομα λογαριασμού σε “contact [IM ACCOUNT USER ID] if you want to know the password.” δηλαδή “επικοινωνήστε με τον ΧΧΧΧΧΧΧΧΧ αν θέλετε να μάθετε τον κωδικό πρόσβασης.”
Αν το θύμα επικοινωνήσει με το διαχειριστή του malware, αυτός θα του προτείνει να πληρώσει 20 κινεζικού Yuan, γύρω στα 3 ευρώ αν θέλει τον νέο κωδικό πρόσβασης.
Οι ειδικοί της Symantec ήταν σε θέση να προσδιορίσει τον κωδικό πρόσβασης επειδή ήταν hardcoded μέσα στον κώδικα του malware που ανέλυσαν. Ωστόσο, οι κυβερνοεγκληματίες μπορούν να τον αλλάξουν ανά πάσα στιγμή.