HavanaCrypt se apresenta como atualização de software Google

Está correndo uma nova variedade de ransomware que tem feito vítimas nos últimos dois meses.

O disfarçe utilizado é o de um aplicativo de atualização de software do Google e reutilizando uma biblioteca de gerenciamento de senhas de código aberto para criptografia.

O HavanaCrypt apresenta mecanismos de antianálise, exfiltração de dados e escalonamento de privilégios, mas não parece estar descartando uma nota de resgate tradicional.

Os metadados do executável malicioso foram modificados para listar o editor como Google e o nome do aplicativo como Google Software Update.

Feita a execução, ele cria uma entrada de execução automática de registro chamada GoogleUpdate. Com base nessas informações, supõe-se que a isca usada para distribuir o ransomware, seja por e-mail ou pela web, esteja centrada em uma atualização de software falsa.