ransomware กลับมาระบาดอีกครั้ง คราวนี้เกิดเฉพาะในจีนและกำจัดเฉพาะกลุ่มผู้ใช้ชาวจีน โดยไม่ร้ายแรงและไม่แพร่หลายเท่า WannaCry หรือ NotPetya ก่อนหน้านี้ แต่ก็มีคอมพิวเตอร์ติดไปแล้วไม่ต่ำกว่า 1 แสนเครื่องและกำลังเพิ่มขึ้นเรื่อยๆ

การแพร่ระบาดของ ransomware ครั้งนี้แพร่ผ่านแอปเขียนโปรแกรมที่ชื่อว่า EasyLanguage ซึ่งค่อนข้างแพร่หลาย โดยซอฟต์แวร์ที่ถูกเขียนและคอมไพล์ผ่าน EasyLanguage จะมี ransomware ติดมาด้วย เท่าที่รู้ตอนนี้มีซอฟต์แวร์ไม่ต่ำกว่า 50 ตัวที่เข้าข่าย ทำให้การแพร่กระจายค่อนข้างรวดเร็วและง่าย

ตัว ransomware ใช้ลายเซ็นดิจิทัลของ Tencent ที่ขโมยมาทำให้สามารถเลี่ยงการตรวจจับของ Anti-Virus ได้ ส่วนพฤติกรรมของ ransomware ไม่เพียงเข้ารหัสไฟล์ในเครื่องแต่ยังขโมยข้อมูลล็อกอินเว็บไซต์และโซเชียลมีเดียชื่อดังของจีนที่เก็บเอาไว้ในเครื่องด้วย ก่อนจะเรียกค่าไถ่เป็นเงินเพียง 110 หยวนหรือราว 550 บาทเท่านั้นผ่านทาง WeChat Pay ภายใน 3 วัน มิเช่นนั้นจะลบกุญแจถอดรหัสทิ้ง

อย่างไรก็ตามนักวิจัยด้านความปลอดภัยพบว่าการเข้ารหัสไฟล์ของ ransomware ตัวนี้ใช้แค่อัลกอริทึม XOR และเก็บกุญแจถอดรหัสเอาไว้ในเครื่องเหยื่อด้วยที่

%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg

ทำให้ทีมนักวิจัยปล่อยโปรแกรมถอดรหัส ransomware ตัวนี้ออกมาฟรีๆ

นักวิจัยยังพบตัวตนของแฮกเกอร์แล้วด้วย เป็นซอฟต์แวร์โปรแกรมเมอร์ชื่อว่า Lau ซึ่งแอคเคาท์ QQ, เลขโทรศัพท์, ไอดี AliPay และอีเมลตรงกับข้อมูลที่นักวิจัยได้มาจากแอคเคาท์ WeChatPay ที่ระบุเอาไว้ตอนเรียกค่าไถ่