Menginfeksi PC dari dua teman dan mendapatkan kunci membuka kunci dari komputer Anda sendiri: skema baru dari crypto ransomware

Ransomware baru-baru ini menjadi jenis malware yang semakin umum. Kita berbicara tentang program ransomware kriptografi yang, dengan menginfeksi komputer pengguna, mengenkripsi semua datanya, kuncinya terletak di server penyerang. Setelah PC terinfeksi, pengguna biasanya diberikan pilihan - untuk membayar jumlah tertentu untuk mendekripsi file mereka atau menerima kenyataan bahwa mereka akan dihapus setelah 2-3 hari. Dengan korban ini, penghitung waktu mundur ditampilkan.

Ada cukup banyak pemeras kriptografi, di antara semua varietas ini spesimen yang sangat menarik kadang-kadang ditemukan. Misalnya, ada program yang tidak mengenkripsi apa pun, tetapi cukup menghapus file pengguna secara permanen, berpura-pura menjadi ransomware kripto. Ya, program ini meminta uang, tetapi pengguna tidak menerima kunci apa pun bahkan dalam hal pembayaran. Semuanya dihapus bahkan dengan pembayaran, bahkan tanpa pembayaran. Program lain menghapus beberapa file per jam sehingga korban dalam tekanan dan membayar lebih cepat. Baru-baru ini, "strain" ransomware baru telah muncul yang menggunakan cara paling orisinal untuk mendapatkan uang.

Beberapa hari yang lalu, sekelompok pakar keamanan informasi menyebut diri mereka   MalwareHunterTeam menemukan program jahat yang disebut penciptanya Popcorn Time. Tetapi alih-alih konten bajakan, program ini menawarkan cara yang berbeda untuk menghibur para korbannya. Pengguna yang komputernya terinfeksi perangkat lunak semacam ini ditawarkan untuk menginfeksi komputer dua orang lainnya untuk mendapatkan kunci untuk mendekripsi data mereka sendiri. Artinya, prinsip yang biasa digunakan oleh perusahaan komersial bekerja: "Bawa dua teman dan dapatkan sesuatu secara gratis." E-commerce langsung dalam bentuk paling murni. Benar, agar korban pertama yang menerima kunci, dua korban lainnya yang datang melalui tautan rujukan harus membayar. Tanpa kondisi ini, tidak akan ada kunci.

Lebih buruk lagi, para pengembang Popcorn Time menambahkan fitur lain: jika pengguna memasukkan kode dekripsi salah sebanyak 4 kali, file-file tersebut mulai dihapus. Jelas bahwa Popcorn Time tidak ada hubungannya dengan perangkat lunak dengan nama yang sama, yang menawarkan lompatan dalam konten media dari sumber daya "bajakan".



Jumlah yang penjahat cyber minta untuk memberikan kunci dekripsi data sangat besar. Ini adalah 1 bitcoin, yang pada nilai tukar saat ini adalah sekitar 760 dolar AS. Selain itu, itu hanya tidak akan bisa menyelipkan file - pengguna yang ingin menginfeksi korban yang telah jatuh ke dalam trik penjahat cyber harus mengikuti tautan rujukan. Jika dua orang melakukan ini, maka orang pertama dalam rantai ini, mungkin, bisa mendapatkan kuncinya.

Agar pengguna yang paling biasa mengatasi tugas, Popcorn Time saat startup menunjukkan jendela yang menjelaskan seluruh situasi (tangkapan layar diposting di atas). Pengguna dapat membayar tanpa menipu siapa pun, atau dengan cara yang tidak mudah dan menginfeksi PC dua orang. Tautan rujukan ditampilkan tepat di bawah instruksi. Selain itu, setiap sistem yang terinfeksi diberi ID unik, ditambah pengguna ditunjukkan alamat tempat mengirim bitcoin, jika ia masih memutuskan untuk melakukannya.



Ketika menganalisis kode sumber perangkat lunak ini, ternyata masih diselesaikan. Fungsi yang sudah disebutkan di atas "memasukkan kode dengan salah 4 kali - menerima data PC yang dihapus" belum berfungsi, tetapi sudah terdaftar dalam kode. Jadi Anda tidak bisa mengatakan apakah perangkat lunak akan benar-benar menghapus file pengguna jika mereka mencoba menebak kodenya, atau hanya gertakan saja. Pada prinsipnya, penyerang tidak perlu menambahkan fungsi seperti itu - biasanya masalah etika atau moral dari pengembang crypto ransomware dan jenis perangkat lunak jahat lainnya tidak terlalu khawatir.

Bagaimana infeksi terjadi?

Pada saat startup, perangkat lunak memeriksa untuk melihat apakah telah dijalankan pada PC ini sebelumnya, yang memeriksa file% AppData% \ been_here dan% AppData% \ server_step_one. Jika setidaknya ada satu file, perangkat lunak menghancurkan dirinya sendiri tanpa menginfeksi komputer lagi (ya, pengembang malware ini tidak ingin tampak seperti penipu, ini jelas). Jika tidak, file boot mengunduh file tambahan dan memulai proses enkripsi.



Kemudian perangkat lunak mencari folder Efiles, "My Documents", "My Pictures", "My Music" dan "Desktop", setelah itu mencoba mencari file dengan ekstensi spesifik di dalamnya, menyandikannya menggunakan protokol enkripsi AES-256. File yang diproses oleh crypto ransomware menerima ekstensi .filock.

Berikut adalah daftar ekstensi file yang dicari malware ini untuk mengenkripsi mereka:

Daftar ekstensi

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Selama proses enkripsi, Popcorn Time menampilkan sesuatu seperti jendela instalasi. Ternyata, ini dilakukan agar pengguna tidak memikirkan hal buruk dan merasa aman.



Setelah itu, dua file dibuat - restore_your_files.html dan restore_your_files.txt. Program terbuka dan menunjukkan kepada pengguna file pertama, dengan ekstensi .html.



Spesialis yang menemukan perangkat lunak ini mengklaim bahwa ia masih dapat berubah secara signifikan, karena penciptanya aktif bekerja untuk memodifikasi malware.

Kunci registri yang terkait dengan ransomware ini adalah: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Jalankan "Popcorn_Time" [path_to] \ popcorn_time.exe. Installer Hashes - SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51.

Anda dapat yakin bahwa instance crypto ransomware yang lebih menarik akan segera muncul. Ngomong-ngomong, baru-baru ini salah satu program jahat tanpa sengaja melakukan perjalanan untuk penumpang kereta api San Francisco gratis. Perangkat lunak ini menginfeksi semua terminal pembayaran, sehingga penumpang tidak dapat membayar dan mereka diizinkan untuk naik secara gratis (tentu saja, sementara).

Source: https://habr.com/ru/post/id400005/