HavanaCrypt se apresenta como atualização de software Google
Os metadados do executável malicioso foram modificados para listar o editor como Google e o nome do aplicativo como Google Software Update.
Está correndo uma nova variedade de ransomware que tem feito vítimas nos últimos dois meses.
O disfarçe utilizado é o de um aplicativo de atualização de software do Google e reutilizando uma biblioteca de gerenciamento de senhas de código aberto para criptografia.
O HavanaCrypt apresenta mecanismos de antianálise, exfiltração de dados e escalonamento de privilégios, mas não parece estar descartando uma nota de resgate tradicional.
Os metadados do executável malicioso foram modificados para listar o editor como Google e o nome do aplicativo como Google Software Update.
Feita a execução, ele cria uma entrada de execução automática de registro chamada GoogleUpdate. Com base nessas informações, supõe-se que a isca usada para distribuir o ransomware, seja por e-mail ou pela web, esteja centrada em uma atualização de software falsa.