Infectez le PC de deux amis et obtenez la clé de déverrouillage de votre propre ordinateur: un nouveau schéma du ransomware crypto

Les ransomwares sont récemment devenus un type de malware de plus en plus courant. Nous parlons de programmes de rançongiciels cryptographiques qui, en infectant l'ordinateur d'un utilisateur, cryptent toutes ses données, la clé se trouvant sur le serveur de l'attaquant. Une fois le PC infecté, l'utilisateur a généralement le choix - de payer un certain montant pour décrypter ses fichiers ou d'accepter le fait qu'ils seront supprimés après 2-3 jours. Avec cette victime, un compte à rebours s'affiche.

Il y a beaucoup d'extorsionnistes cryptographiques; parmi toute cette variété, on trouve parfois des spécimens très intéressants. Par exemple, il existe un programme qui ne crypte rien, mais supprime simplement définitivement les fichiers utilisateur, se faisant passer pour un rançongiciel cryptographique. Oui, le programme demande de l'argent, mais l'utilisateur ne reçoit aucune clé même en cas de paiement. Tout est supprimé même avec paiement, même sans lui. Un autre programme supprime plusieurs fichiers par heure afin que la victime soit stressée et paie plus rapidement. Récemment, une nouvelle «souche» de ransomware est apparue qui utilise la manière la plus originale de tirer profit .

Il y a quelques jours, un groupe d'experts en sécurité de l'information se faisant appeler   MalwareHunterTeam a découvert un programme malveillant appelé son créateur Popcorn Time. Mais au lieu d'un contenu piraté, le programme offre une manière différente de divertir ses victimes. L'utilisateur dont l'ordinateur est infecté par ce type de logiciel se voit proposer d'infecter les ordinateurs de deux autres personnes afin d'obtenir une clé pour décrypter leurs propres données. Autrement dit, le principe couramment utilisé par les entreprises commerciales fonctionne: "Amenez deux amis et obtenez quelque chose gratuitement." Le commerce électronique direct dans sa forme la plus pure. Certes, pour que la première victime reçoive la clé, les deux autres victimes qui sont passées par le lien de référence doivent payer. Sans cette condition, il n'y aura pas de clé.

Pour aggraver les choses, les développeurs de Popcorn Time ont ajouté une autre fonctionnalité: si l'utilisateur entre le code de déchiffrement de manière incorrecte 4 fois, les fichiers commencent à être supprimés. Il est clair que Popcorn Time n'a rien à voir avec le logiciel du même nom, qui offre un saut dans le contenu multimédia des ressources "piratées".



Le montant que les cybercriminels demandent pour fournir une clé de déchiffrement des données est très important. Il s'agit d'un bitcoin, qui au taux de change actuel est d'environ 760 dollars américains. De plus, il ne pourra tout simplement pas glisser le fichier - l'utilisateur qui souhaite infecter une victime déjà tombée dans le piège des cybercriminels doit suivre un lien de parrainage. Si deux personnes le font, la première personne de cette chaîne peut vraisemblablement obtenir la clé.

Pour que l'utilisateur le plus ordinaire puisse faire face à la tâche, Popcorn Time au démarrage affiche une fenêtre expliquant toute la situation (la capture d'écran a été publiée ci-dessus). L'utilisateur peut soit simplement payer sans tromper personne, soit passer à la dure et infecter le PC de deux personnes. Le lien de parrainage est indiqué juste en dessous des instructions. De plus, chaque système infecté se voit attribuer un ID unique, plus l'utilisateur reçoit l'adresse où envoyer des bitcoins, s'il décide toujours de le faire.



Lors de l'analyse du code source de ce logiciel, il s'est avéré qu'il était encore en cours de finalisation. La fonction déjà mentionnée ci-dessus «saisie incorrecte du code 4 fois - réception effacée des données du PC» ne fonctionne pas encore, mais elle est déjà enregistrée dans le code. Vous ne pouvez donc pas dire si le logiciel supprimera vraiment les fichiers utilisateur s’ils essaient de deviner le code, ou s’il s’agit d’un bluff. En principe, les attaquants n'ont besoin de rien pour ajouter une telle fonction - généralement les problèmes éthiques ou moraux des développeurs de crypto-rançongiciels et d'autres types de logiciels malveillants ne sont pas trop inquiets.

Comment l'infection se produit-elle?

Au démarrage, le logiciel vérifie s'il a déjà été exécuté sur ce PC, ce qui vérifie les fichiers% AppData% \ been_here et% AppData% \ server_step_one. Si au moins l'un des fichiers existe, le logiciel se détruit sans infecter à nouveau l'ordinateur (oui, le développeur de ce malware ne veut pas ressembler à un tricheur, c'est évident). Sinon, le fichier de démarrage télécharge des fichiers supplémentaires et démarre le processus de cryptage.



Ensuite, le logiciel recherche le dossier Efiles, "Mes documents", "Mes images", "Ma musique" et "Bureau", après quoi il essaie de trouver des fichiers avec une extension spécifique, les encodant en utilisant le protocole de cryptage AES-256. Le fichier traité par le crypto ransomware reçoit l'extension .filock.

Voici une liste d'extensions de fichiers que ce malware recherche pour les crypter:

Liste des extensions

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Pendant le processus de cryptage, Popcorn Time affiche quelque chose comme une fenêtre d'installation. Apparemment, cela est fait pour que l'utilisateur ne pense rien de mal et se sente en sécurité.



Après cela, deux fichiers sont créés - restore_your_files.html et restore_your_files.txt. Le programme s'ouvre et montre à l'utilisateur le premier fichier, avec l'extension .html.



Les spécialistes qui ont découvert ce logiciel affirment qu'il peut encore changer de manière significative, car son créateur travaille activement à modifier le malware.

La clé de registre associée à ce rançongiciel est: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run "Popcorn_Time" [path_to] \ popcorn_time.exe. Hashs du programme d'installation - SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51.

Vous pouvez être sûr que bientôt des instances plus intéressantes de crypto-ransomware apparaîtront. Soit dit en passant, récemment, l'un des programmes malveillants a rendu involontairement gratuit le voyage des passagers du chemin de fer de San Francisco. Ce logiciel a infecté tous les terminaux de paiement, de sorte que les passagers ne pouvaient tout simplement pas payer et étaient autorisés à voyager gratuitement (bien sûr, temporairement).

Source: https://habr.com/ru/post/fr400005/