Спецпроекты

Безопасность Пользователю Стратегия безопасности

Новый троян-шифровальщик позволяет пользователям откупиться, заразив двух знакомых

Вирус-вымогатель Popcorn Time предлагает жертве отослать вредоносную ссылку ещё двум пользователям. Если кто-то из них заплатит выкуп, компьютер изначальной жертвы будет разблокирован. Программа сообщает, что все вырученные средства пойдут на благотворительные цели в Сирии.

Программа-вымогатель Popcorn Time

В Сети началась рассылка вируса-вымогателя Popcorn Time, который шифрует файлы на компьютере, а потом предлагает жертве либо заплатить выкуп, либо помочь в распространении троянской программы, отослав ссылку двум другим пользователям.

В случае если один из этих пользователей согласится заплатить выкуп, будет разблокирован и его компьютер, и устройство изначальной жертвы. Ссылка на файл с вирусом представляет собой адрес на одном из серверов сети Tor. Сумма выкупа составляет 1 биткоин, что по нынешнему курсу примерно равняется $780. Срок уплаты выкупа составляет 7 дней.

Механизм действия

Программа использует мощный механизм шифрования файлов, известный как AES-256. Кодированию подвергаются папки «Документы», «Изображения», «Музыка», «Рабочий стол» и ещё несколько популярных локаций файлов. Зашифрованные файлы можно отличить от здоровых по новому расширению .filock, которое добавляется к имени файла после обычного расширения.

После запуска Popcorn Time сначала проверяет, не подвергался ли уже этот компьютер шифрованию с его помощью. Об этом свидетельствует наличие файла %AppData%\been_here. Если такого файла нет, программа запускает процесс шифрования. Для пользователя он выглядит как сообщение о загрузке и установке нового приложения с просьбой подождать окончания процесса.

Организаторы рассылки Popcorn Time представляются как группа студентов компьютерных специальностей из Сирии

По окончании шифрования программа выдаёт сообщение, в котором присутствует персональный ID жертвы, счёт, куда нужно перечислить биткойн, и поле для ввода дешифрующего кода. Для тех пользователей, у которых нет биткойнов, дана ссылка на инструкцию, как их приобрести.

У жертвы есть всего четыре попытки введения дешифрующего кода. Когда количество попыток исчерпывается, программа шифрует файлы навсегда. В скрипте также есть возможность добавить функцию удаления файлов, однако она пока не активирована, поскольку вирус находится в процессе совершенствования.

Организаторы рассылки

Вирус-шифровальщик был обнаружен сообществом кибербезопасности MalwareHunterTeam. Сообщество опубликовало несколько скриншотов работы Popcorn Time. Судя по ним, программа распространяется выходцами из Сирии, которые утверждают в обращении к жертвам, что средства «пойдут на покупку продуктов, медикаментов и жилья для тех, кто в этом нуждается».

Создатели Popcorn Time уверяют, что вырученные средства пойдут на благотворительные цели

Организаторы акции представляются как группа студентов компьютерных специальностей. Они поясняют, что их страна испытывает трудности с 2011 г. и приводят статистику за этот период: 1 млн погибших и 5 млн беженцев. По словам хакеров, каждый из их команды утратил члена семьи, причём автор обращения лично лишился в 2015 г. родителей и сестры. Группировка приносят жертвам свои извинения, сообщая, что для них это единственный способ выживания.

Валерия Шмырова

Короткая ссылка