Este ransomware foi desenvolvido inspirado no Ransomware WannaCry, que direciona o ataque para a plataforma windows.
De acordo com o Qihoo 360, o dano deste Ransomware será mais pesado, já que ele se destina a dispositivos Android e pode se espalhar facilmente pelo mundo.
Começa escondendo seu launcher de aplicativos e mudando o papel de parede principal para uma imagem de anime. Em seguida, ele começa a criptografar os arquivos armazenados no armazenamento externo do dispositivo.
Uma vez instalado no dispositivo android, ele iniciará o processo de criptografia de fotos, arquivos e pedirá às vítimas que paguem para recuperá-los.
A 360 Mobile Security, empresa de segurança para dispositivos móveis, informa que, quase todo o telefone Android é vulnerável a este Ransomware, e pode fazer com que o usuário perca toda sua informação pessoal.
Espalhando através de plataformas sociais
O virús espalha-se usando as mídias sociais mais utilizadas, como fórum, grupos de jogos, aplicativos de bate-papo, entre outras.
Uma vez que o telefone é afetado, ele irá criptografar todos os dados móveis que ficarão inacessíveis. Para descriptografar seus dados é necessário o pagamento de uma taxa. O pagamento se dá através dos provedores chineses QQ, Alipay ou WeChat.
Este ransomware usa criptografia AES e a maioria dos caracteres são chineses e latinos. O valor cobrado para resgate é de US$6. Se o usuário não descriptografar dentro de três dias, o preço para resgate é duplicado. Depois de uma semana, todos os arquivos no telefone são excluídos.
Similar ao WannaCry e EternalBlue
A versão para computador deste ransomware parece o malware da NSA, EternalBlue. A interface gráfica deste Ransomware e muitas de suas funções e autorizações, são similares à arquitetura WannaCry.
De acordo com o 360, os relatórios mostram que, no momento, os usuários infectados são jogadores de “King Glory”. Especialistas em segurança dizem que os criminosos usam deste popular jogo para espalhar o Ransomware.
São criptografados apenas arquivos com menos de 10KB de tamanho. E não criptografa arquivos cujos nomes começam com ponto, arquivos localizados em pastas que incluem “Android”, “Com”, “DCIM”, “Download”.