Infizieren Sie den PC von zwei Freunden und erhalten Sie den Entsperrschlüssel Ihres eigenen Computers: ein neues Schema der Krypto-Ransomware

Ransomware ist in letzter Zeit zu einer zunehmend verbreiteten Art von Malware geworden. Es handelt sich um kryptografische Ransomware-Programme, die durch Infektion des Computers eines Benutzers alle Daten verschlüsseln, wobei sich der Schlüssel auf dem Server des Angreifers befindet. Nachdem der PC infiziert wurde, hat der Benutzer normalerweise die Wahl, einen bestimmten Betrag für die Entschlüsselung seiner Dateien zu zahlen oder die Tatsache zu akzeptieren, dass sie nach 2-3 Tagen gelöscht werden. Bei diesem Opfer wird ein Countdown-Timer angezeigt.

Es gibt ziemlich viele kryptografische Erpresser, unter all dieser Vielfalt finden sich manchmal sehr interessante Exemplare. Zum Beispiel gibt es ein Programm, das nichts verschlüsselt, sondern Benutzerdateien einfach dauerhaft löscht und sich als Krypto-Ransomware ausgibt. Ja, das Programm verlangt Geld, aber der Benutzer erhält auch bei Zahlung keinen Schlüssel. Alles wird auch bei Zahlung entfernt, auch ohne. Ein anderes Programm löscht mehrere Dateien pro Stunde, so dass das Opfer unter Stress steht und schneller bezahlt. Vor kurzem ist eine neue Ransomware-Sorte aufgetaucht, die die originellste Art der Einzahlung verwendet.

Vor einigen Tagen entdeckte eine Gruppe von Informationssicherheitsexperten, die sich   MalwareHunterTeam nannten , ein Schadprogramm namens Popcorn Time. Anstelle von Raubkopien bietet das Programm jedoch eine andere Möglichkeit, seine Opfer zu unterhalten. Dem Benutzer, dessen Computer mit dieser Art von Software infiziert ist, wird angeboten, die Computer von zwei anderen Personen zu infizieren, um einen Schlüssel zum Entschlüsseln seiner eigenen Daten zu erhalten. Das heißt, das von Handelsunternehmen gebräuchliche Prinzip lautet: „Bringen Sie zwei Freunde mit und holen Sie sich etwas umsonst.“ Direkter E-Commerce in seiner reinsten Form. Damit das erste Opfer den Schlüssel erhält, müssen die beiden anderen Opfer, die über den Überweisungslink gekommen sind, zahlen. Ohne diese Bedingung gibt es keinen Schlüssel.

Um die Sache noch schlimmer zu machen, haben die Entwickler von Popcorn Time eine weitere Funktion hinzugefügt: Wenn der Benutzer den Entschlüsselungscode viermal falsch eingibt, werden die Dateien gelöscht. Es ist klar, dass Popcorn Time nichts mit der gleichnamigen Software zu tun hat, die einen Sprung in den Medieninhalt von "Raubkopien" -Ressourcen bietet.



Der Betrag, den Cyberkriminelle für die Bereitstellung eines Datenentschlüsselungsschlüssels verlangen, ist sehr hoch. Dies ist 1 Bitcoin, was zum aktuellen Wechselkurs etwa 760 US-Dollar beträgt. Darüber hinaus kann die Datei nicht verschoben werden. Der Benutzer, der ein Opfer infizieren möchte, das bereits in den Trick von Cyberkriminellen geraten ist, muss einem Verweislink folgen. Wenn zwei Personen dies tun, kann vermutlich die erste Person in dieser Kette den Schlüssel erhalten.

Damit der gewöhnlichste Benutzer die Aufgabe bewältigen kann, zeigt Popcorn Time beim Start ein Fenster, in dem die gesamte Situation erläutert wird (der Screenshot wurde oben veröffentlicht). Der Benutzer kann entweder einfach bezahlen, ohne jemanden zu täuschen, oder auf die harte Tour gehen und den PC von zwei Personen infizieren. Der Empfehlungslink wird direkt unter den Anweisungen angezeigt. Zusätzlich wird jedem infizierten System eine eindeutige ID zugewiesen, und dem Benutzer wird die Adresse angezeigt, an die er Bitcoins senden soll, wenn er sich dennoch dazu entscheidet.



Bei der Analyse des Quellcodes dieser Software stellte sich heraus, dass sie noch finalisiert wurde. Die oben bereits erwähnte Funktion „Code viermal falsch eingegeben - von PC-Daten gelöscht empfangen“ funktioniert noch nicht, ist aber bereits im Code registriert. Sie können also nicht sagen, ob die Software Benutzerdateien wirklich löscht, wenn sie versuchen, den Code zu erraten, oder ob es sich um einen Bluff handelt. Im Prinzip brauchen Angreifer nichts, um eine solche Funktion hinzuzufügen - normalerweise sind die ethischen oder moralischen Probleme von Entwicklern von Krypto-Ransomware und anderen Arten von schädlicher Software nicht allzu besorgt.

Wie kommt es zu einer Infektion?

Beim Start prüft die Software, ob sie zuvor auf diesem PC ausgeführt wurde, und überprüft die Dateien% AppData% \ been_here und% AppData% \ server_step_one. Wenn mindestens eine der Dateien vorhanden ist, zerstört sich die Software selbst, ohne den Computer erneut zu infizieren (ja, der Entwickler dieser Malware möchte nicht wie ein Betrüger wirken, dies ist offensichtlich). Andernfalls lädt die Startdatei zusätzliche Dateien herunter und startet den Verschlüsselungsprozess.



Anschließend sucht die Software nach den Efiles-Ordnern "Eigene Dateien", "Eigene Bilder", "Eigene Musik" und "Desktop". Anschließend wird versucht, Dateien mit einer bestimmten Erweiterung zu finden und diese mithilfe des AES-256-Verschlüsselungsprotokolls zu codieren. Die von der Crypto Ransomware verarbeitete Datei erhält die Erweiterung .filock.

Hier ist eine Liste der Dateierweiterungen, nach denen diese Malware sucht, um sie zu verschlüsseln:

Liste der Erweiterungen

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Während des Verschlüsselungsprozesses zeigt Popcorn Time so etwas wie ein Installationsfenster an. Anscheinend geschieht dies, damit der Benutzer nichts Schlechtes denkt und sich sicher fühlt.



Danach werden zwei Dateien erstellt - restore_your_files.html und restore_your_files.txt. Das Programm wird geöffnet und zeigt dem Benutzer die erste Datei mit der Erweiterung .html an.



Spezialisten, die diese Software entdeckt haben, behaupten, dass sie sich noch erheblich ändern kann, da ihr Ersteller aktiv daran arbeitet, die Malware zu ändern.

Der mit dieser Ransomware verknüpfte Registrierungsschlüssel lautet: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Führen Sie "Popcorn_Time" [path_to] \ popcorn_time.exe aus. Installer Hashes - SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51.

Sie können sicher sein, dass bald weitere interessante Instanzen von Crypto Ransomware erscheinen werden. Übrigens hat kürzlich eines der bösartigen Programme das Reisen für Passagiere der Eisenbahn in San Francisco unfreiwillig kostenlos gemacht. Diese Software infizierte alle Zahlungsterminals, sodass die Passagiere einfach nicht bezahlen konnten und (natürlich vorübergehend) kostenlos fahren durften .

Source: https://habr.com/ru/post/de400005/