Поделиться
Новый троян-шифровальщик позволяет пользователям откупиться, заразив двух знакомых
Вирус-вымогатель Popcorn Time предлагает жертве отослать вредоносную ссылку ещё двум пользователям. Если кто-то из них заплатит выкуп, компьютер изначальной жертвы будет разблокирован. Программа сообщает, что все вырученные средства пойдут на благотворительные цели в Сирии.
Программа-вымогатель Popcorn Time
В Сети началась рассылка вируса-вымогателя Popcorn Time, который шифрует файлы на компьютере, а потом предлагает жертве либо заплатить выкуп, либо помочь в распространении троянской программы, отослав ссылку двум другим пользователям.
В случае если один из этих пользователей согласится заплатить выкуп, будет разблокирован и его компьютер, и устройство изначальной жертвы. Ссылка на файл с вирусом представляет собой адрес на одном из серверов сети Tor. Сумма выкупа составляет 1 биткоин, что по нынешнему курсу примерно равняется $780. Срок уплаты выкупа составляет 7 дней.
Механизм действия
Программа использует мощный механизм шифрования файлов, известный как AES-256. Кодированию подвергаются папки «Документы», «Изображения», «Музыка», «Рабочий стол» и ещё несколько популярных локаций файлов. Зашифрованные файлы можно отличить от здоровых по новому расширению .filock, которое добавляется к имени файла после обычного расширения.
После запуска Popcorn Time сначала проверяет, не подвергался ли уже этот компьютер шифрованию с его помощью. Об этом свидетельствует наличие файла %AppData%\been_here. Если такого файла нет, программа запускает процесс шифрования. Для пользователя он выглядит как сообщение о загрузке и установке нового приложения с просьбой подождать окончания процесса.
По окончании шифрования программа выдаёт сообщение, в котором присутствует персональный ID жертвы, счёт, куда нужно перечислить биткойн, и поле для ввода дешифрующего кода. Для тех пользователей, у которых нет биткойнов, дана ссылка на инструкцию, как их приобрести.
У жертвы есть всего четыре попытки введения дешифрующего кода. Когда количество попыток исчерпывается, программа шифрует файлы навсегда. В скрипте также есть возможность добавить функцию удаления файлов, однако она пока не активирована, поскольку вирус находится в процессе совершенствования.
Организаторы рассылки
Вирус-шифровальщик был обнаружен сообществом кибербезопасности MalwareHunterTeam. Сообщество опубликовало несколько скриншотов работы Popcorn Time. Судя по ним, программа распространяется выходцами из Сирии, которые утверждают в обращении к жертвам, что средства «пойдут на покупку продуктов, медикаментов и жилья для тех, кто в этом нуждается».
Организаторы акции представляются как группа студентов компьютерных специальностей. Они поясняют, что их страна испытывает трудности с 2011 г. и приводят статистику за этот период: 1 млн погибших и 5 млн беженцев. По словам хакеров, каждый из их команды утратил члена семьи, причём автор обращения лично лишился в 2015 г. родителей и сестры. Группировка приносят жертвам свои извинения, сообщая, что для них это единственный способ выживания.
Поделиться
Короткая ссылка
