Pochi giorni fa è stato individuato un nuovo ransomware, chiamato Popcorn Time che fornisce alla vittima la chiave privata per la decriptazione in una maniera molto particolare: infatti si può scegliere di pagare il solito riscatto per i propri file oppure infettare altre due persone ed ottenere la chiave di decodifica gratuitamente. Inoltre se l'utente inserisce la chiave di decriptazione sbagliata per 4 volte il ransomware comincia ad eliminare i file. Questo ransomware non è assolutamente collegato con l'applicazione Popcorn Time per il download e lo streaming dei film coperti da copyright.
Per ottenere la chiave di decodifica basta essere scorretti...
Come abbiamo detto un modo per ottenere gratuitamente lo sblocco dei file è infettare altre due vittime attraverso un link "personalizzato". Se almeno due persone faranno clic su quel link, infettando di conseguenza il proprio pc col ransomware, la vittima "originaria" riceverà la chiave di decriptazione. Per facilitare questo meccanismo la nota di riscatto di Popcorn Time contiene un URL che collega al server Tor del ransomware.
Il meccanismo è spiegato chiaramente: si offre una via "facile e veloce", ovvero pagando un riscatto, e una "nasty way", ovvero infettare altri.
L'eliminazione dei file...
Quando Popcorn Time viene eseguito appare una schermata di blocco , come quella sottostante ma con informazioni relative all'istallazione dell'utente , come per esempio al posto di [UID] ci sarà ID della vittima e al posto di [WADDRESS] ci sarà l'indirizzo bitcoin necessario per inviare il pagamento. C'è inoltre un campo in cui la vittima può inserire il codice di decriptazione ottenuto pagando il riscatto, ma se questo viene inserito errato più di 4 volte i file della vittima vengono eliminati.
Poichè il ransomware è ancora in fase di sviluppo non si sa se questa sia solo una tattica per spaventare le vittime ma data l'iniziativa di questo sviluppatore nelle modalità di contagio non sarebbe strano che l'eliminazione dei file avvenga davvero.
Come viene criptato il computer...
Una volta avviato, il ransomware controlla se il ransomnware ha già criptato quel computer, verificando la presenza dei file %AppData%\been_here e %AppData%\server_step_one. Se questi file sono presenti nel computer significa che questo è già stato criptato, quindi il ransomware si auto-termina. Altrimenti avvia il processo di criptazione.
Essendo un ransomware ancora in via di sviluppo sappiamo che per ora si concentra sui file che si trovano in : Documenti, Immagini, Musica e Desktop. Fino a qualche giorno fa invece, creava una cartella bersaglio e criptava solo i file presenti in quella cartella.
Viene utilizzata la crittografia AES-256 e l'estensione è .filok.
Durante la crittografia appare una pagina di finta installazione di un programma. Al termine vengono salvate le note di riscatto con i nomi restore_your_files.html e restore_your_files.txt: entrambe queste vengono visualizzate automaticamente .
Come abbiamo detto essendo un ransomware in via di sviluppo è possibile che vi siano cambiamenti o aggiunte successive.
File associati a questo ransomware
restore_your_files.html
restore_your_files.txt
popcorn_time.exe
Nessun commento:
Posta un commento