Popcorn Time – nowe ransomware odszyfruje pliki, jeśli zarazisz innych

Next ransomware on the table: Popcorn Time. Not yet finished. 4th screenshot, "Why we do that?" part. Okay...@BleepinComputer @demonslay335 pic.twitter.com/JHbOjJt7Gb

— MalwareHunterTeam (@malwrhunterteam) 7 grudnia 2016Na Popcorn Time, który stanowi otwarcie nowej podgrupy zagrożeń typu ransomware, zwraca uwagę grupa MalwareHunterTeam. Początkowo scenariusz ataku przebiega standardowo: po infekcji program blokuje pliki szyfrem AES-256 (do rozszerzenia FILOCK lub KOK), w tym czasie wyświetlane jest fałszywe okno imitujące ekran instalacji oprogramowania. Gdy proces zostanie zakończony, ofiara zyskuje dostęp do dwóch plików HTML, w których znajduje się informacja o tym, jak przywrócić dostęp do plików.

A możliwości są dwie, zaś podający się za Syryjczyków atakujący argumentują swoje ataki katastrofalną sytuacją wynikającą z trwającej tam wojny. Z tego powodu wymuszają wpłaty w wysokości 1 bitcoina (dziś 3 289 złotych), co poskutkuje uzyskaniem klucza deszyfrującego. Jest jednak także druga ścieżka, i to właśnie tutaj mamy do czynienia z innowacją: odzyskać dostęp do plików można dzięki przesłaniu Popcorn Time do innych użytkowników.

Aby otrzymać klucz deszyfrujący bez konieczności zapłaty okupu, wystarczy rozesłać przekazane przez atakujących linki innym użytkownikom. Jeżeli dwóch z nich zdecyduje się zapłacić okup, wówczas atakujący prześlą swojemu nowemu wspólnikowi klucz deszyfrujący całkowicie za darmo.

Trudno odmówić atakującym pomysłowości, a zapewne znajdzie się wiele ofiar, które spróbują szczęścia i narażą na ryzyko innych. Na razie brakuje jednak informacji, które potwierdzałyby, że ofensywny wariant odzyskania dostępu do plików przynosi rezultaty. Czyżby to kwestia wstydu? Warto także zaznaczyć, że czterokrotne wprowadzenie niepoprawnego klucza prowadzi do całkowitego usunięcia zaszyfrowanych plików, nie warto zatem praktykować w przypadku Popcorn Time metody na chybił trafił.