Infecte la PC de dos amigos y obtenga la clave de desbloqueo de su propia computadora: un nuevo esquema del crypto ransomware

El ransomware se ha convertido recientemente en un tipo de malware cada vez más común. Estamos hablando de programas de ransomware criptográfico que, al infectar la computadora de un usuario, encriptan todos sus datos, la clave se encuentra en el servidor del atacante. Después de que la PC está infectada, generalmente se le da al usuario una opción: pagar una cierta cantidad por descifrar sus archivos o aceptar el hecho de que se eliminarán después de 2-3 días. Con esta víctima, se muestra un temporizador de cuenta regresiva.

Hay bastantes extorsionistas criptográficos; entre toda esta variedad, a veces se encuentran ejemplares muy interesantes. Por ejemplo, hay un programa que no encripta nada, sino que simplemente elimina permanentemente los archivos del usuario, pretendiendo ser un cripto ransomware. Sí, el programa solicita dinero, pero el usuario no recibe ninguna clave, incluso en caso de pago. Todo se elimina incluso con el pago, incluso sin él. Otro programa elimina varios archivos por hora para que la víctima esté estresada y pague más rápido. Recientemente, ha surgido una nueva "cepa" de ransomware que utiliza la forma más original de cobrar.

Hace unos días, un grupo de expertos en seguridad de la información que se hacía llamar   MalwareHunterTeam descubrió un programa malicioso llamado su creador Popcorn Time. Pero en lugar de contenido pirateado, el programa ofrece una forma diferente de entretener a sus víctimas. Al usuario cuya computadora está infectada con este tipo de software se le ofrece infectar las computadoras de otras dos personas para obtener una clave para descifrar sus propios datos. Es decir, el principio comúnmente utilizado por las empresas comerciales funciona: "Trae dos amigos y obtén algo gratis". Comercio electrónico directo en su forma más pura. Es cierto que para que la primera víctima reciba la clave, las otras dos víctimas que llegaron a través del enlace de referencia deben pagar. Sin esta condición, no habrá clave.

Para empeorar las cosas, los desarrolladores de Popcorn Time agregaron otra característica: si el usuario ingresa el código de descifrado incorrectamente 4 veces, los archivos comienzan a eliminarse. Está claro que Popcorn Time no tiene nada que ver con el software del mismo nombre, que ofrece un salto en el contenido multimedia de los recursos "pirateados".



La cantidad que los cibercriminales solicitan para proporcionar una clave de descifrado de datos es muy grande. Esto es 1 bitcoin, que al tipo de cambio actual es de aproximadamente 760 dólares estadounidenses. Además, simplemente no podrá deslizar el archivo: el usuario que quiera infectar a una víctima que ya ha caído en el truco de los ciberdelincuentes debe seguir un enlace de referencia. Si dos personas hacen esto, entonces la primera persona en esta cadena, presumiblemente, puede obtener la clave.

Para que el usuario más común pueda hacer frente a la tarea, Popcorn Time al inicio muestra una ventana que explica toda la situación (la captura de pantalla se publicó arriba). El usuario puede simplemente pagar sin engañar a nadie, o bien seguir el camino difícil e infectar la PC de dos personas. El enlace de referencia se muestra justo debajo de las instrucciones. Además, a cada sistema infectado se le asigna una identificación única, y al usuario se le muestra la dirección donde enviar bitcoins, si aún así decide hacerlo.



Al analizar el código fuente de este software, resultó que todavía se estaba finalizando. La función ya mencionada anteriormente "ingresó el código incorrectamente 4 veces - recibido borrado de los datos de la PC" todavía no funciona, pero ya está registrado en el código. Por lo tanto, no puede decir si el software realmente eliminará los archivos de los usuarios si intentan adivinar el código, o si es un farol. En principio, los atacantes no necesitan nada para agregar esa función; por lo general, los problemas éticos o morales de los desarrolladores de crypto ransomware y otros tipos de software malicioso no están demasiado preocupados.

¿Cómo se produce la infección?

Al inicio, el software verifica si se ejecutó anteriormente en esta PC, que verifica los archivos% AppData% \ been_here y% AppData% \ server_step_one. Si existe al menos uno de los archivos, el software se destruye a sí mismo sin infectar la computadora nuevamente (sí, el desarrollador de este malware no quiere parecer un tramposo, esto es obvio). De lo contrario, el archivo de arranque descarga archivos adicionales e inicia el proceso de cifrado.



Luego, el software busca la carpeta Efiles, "Mis documentos", "Mis imágenes", "Mi música" y "Escritorio", después de lo cual intenta encontrar archivos con una extensión específica, codificándolos utilizando el protocolo de cifrado AES-256. El archivo procesado por el crypto ransomware recibe la extensión .filock.

Aquí hay una lista de extensiones de archivo que este malware está buscando para encriptarlas:

Listado de extensiones

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Durante el proceso de encriptación, Popcorn Time muestra algo así como una ventana de instalación. Aparentemente, esto se hace para que el usuario no piense nada malo y se sienta seguro.



Después de eso, se crean dos archivos: restore_your_files.html y restore_your_files.txt. El programa se abre y muestra al usuario el primer archivo, con la extensión .html.



Los especialistas que descubrieron este software afirman que aún puede cambiar significativamente, ya que su creador está trabajando activamente para modificar el malware.

La clave de registro asociada con este ransomware es: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run "Popcorn_Time" [path_to] \ popcorn_time.exe. Hashes del instalador - SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51.

Puede estar seguro de que pronto aparecerán instancias más interesantes de crypto ransomware. Por cierto, recientemente uno de los programas maliciosos involuntariamente hizo que viajar para los pasajeros del ferrocarril de San Francisco fuera gratuito. Este software infectaba todos los terminales de pago, por lo que los pasajeros simplemente no podían pagar y se les permitía viajar gratis (por supuesto, temporalmente).

Source: https://habr.com/ru/post/es400005/