Infecte o PC de dois amigos e obtenha a chave de desbloqueio do seu próprio computador: um novo esquema de operação de ransomware de criptografia

O ransomware tornou-se recentemente um tipo de malware cada vez mais comum. Estamos falando de programas criptográficos de ransomware que, infectando o computador de um usuário, criptografam todos os seus dados, estando a chave localizada no servidor do atacante. Depois que o PC é infectado, o usuário geralmente tem uma opção - pagar uma certa quantia por descriptografar seus arquivos ou aceitar o fato de que eles serão excluídos após 2-3 dias. Com esta vítima, um contador regressivo é mostrado.

Existem muitos extorsionistas criptográficos; entre toda essa variedade, são encontrados espécimes muito interessantes. Por exemplo, existe um programa que não criptografa nada, mas simplesmente exclui permanentemente os arquivos do usuário, fingindo ser um ransomware criptográfico. Sim, o programa pede dinheiro, mas o usuário não recebe nenhuma chave, mesmo em caso de pagamento. Tudo é removido mesmo com pagamento, mesmo sem ele. Outro programa exclui vários arquivos por hora, para que a vítima esteja sob estresse e pague mais rapidamente. Recentemente, surgiu uma nova "linhagem" de ransomware que usa a maneira mais original de ganhar dinheiro.

Alguns dias atrás, um grupo de especialistas em segurança da informação que se autodenominava   MalwareHunterTeam descobriu um programa malicioso chamado Popcorn Time, seu criador. Mas, em vez de conteúdo pirateado, o programa oferece uma maneira diferente de entreter suas vítimas. O usuário cujo computador está infectado com esse tipo de software é oferecido para infectar os computadores de duas outras pessoas, a fim de obter uma chave para descriptografar seus próprios dados. Ou seja, o princípio comumente usado pelas empresas comerciais funciona: "Traga dois amigos e ganhe algo de graça". Comércio eletrônico direto em sua forma mais pura. É verdade que, para que a primeira vítima receba a chave, as outras duas vítimas que passaram pelo link de referência devem pagar. Sem essa condição, não haverá chave.

Para piorar a situação, os desenvolvedores do Popcorn Time adicionaram outro recurso: se o usuário digitar o código de descriptografia incorretamente 4 vezes, os arquivos começarão a ser excluídos. É claro que o Popcorn Time não tem nada a ver com o software de mesmo nome, que oferece um salto no conteúdo da mídia a partir de recursos "pirateados".



A quantidade que os cibercriminosos solicitam para fornecer uma chave de descriptografia de dados é muito grande. Este é 1 bitcoin, que na taxa de câmbio atual é de cerca de 760 dólares. Além disso, ele não será capaz de escorregar o arquivo - o usuário que deseja infectar uma vítima que já caiu no truque dos cibercriminosos deve seguir um link de referência. Se duas pessoas fizerem isso, então a primeira pessoa nesta cadeia, presumivelmente, poderá obter a chave.

Para que o usuário mais comum possa lidar com a tarefa, o Popcorn Time na inicialização mostra uma janela explicando toda a situação (a captura de tela foi publicada acima). O usuário pode simplesmente pagar sem enganar ninguém, ou seguir o caminho mais difícil e infectar o PC de duas pessoas. O link de referência é mostrado logo abaixo das instruções. Além disso, a cada sistema infectado é atribuído um ID exclusivo, e o usuário recebe o endereço para onde enviar bitcoins, se ele ainda decidir fazê-lo.



Ao analisar o código fonte deste software, verificou-se que ele ainda estava sendo finalizado. A função já mencionada acima “digitou o código incorretamente 4 vezes - recebeu a limpeza dos dados do PC” ainda não funciona, mas já está registrada no código. Portanto, você não pode dizer se o software realmente excluirá os arquivos do usuário se tentar adivinhar o código ou se é um blefe. Em princípio, os invasores não precisam de nada para adicionar essa função - geralmente os problemas éticos ou morais dos desenvolvedores de crypto ransomware e outros tipos de software malicioso não estão muito preocupados.

Como ocorre a infecção?

Na inicialização, o software verifica se ele já foi executado neste PC antes, o que verifica os arquivos% AppData% \ been_here e% AppData% \ server_step_one. Se pelo menos um dos arquivos existir, o software se destrói sem infectar o computador novamente (sim, o desenvolvedor deste malware não quer parecer um trapaceiro, isso é óbvio). Caso contrário, o arquivo de inicialização baixa arquivos adicionais e inicia o processo de criptografia.



Em seguida, o software procura a pasta Efiles, “Meus documentos”, “Minhas imagens”, “Minhas músicas” e “Área de trabalho”, após o que tenta encontrar arquivos com uma extensão específica, codificando-os usando o protocolo de criptografia AES-256. O arquivo processado pelo crypto ransomware recebe a extensão .filock.

Aqui está uma lista de extensões que este malware está procurando para criptografá-las:

Lista de extensões

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Durante o processo de criptografia, o Popcorn Time exibe algo como uma janela de instalação. Aparentemente, isso é feito para que o usuário não pense mal e se sinta seguro.



Depois disso, dois arquivos são criados - restore_your_files.html e restore_your_files.txt. O programa é aberto e mostra ao usuário o primeiro arquivo, com a extensão .html.



Os especialistas que descobriram este software afirmam que ele ainda pode mudar significativamente, pois seu criador está trabalhando ativamente para modificar o malware.

A chave do registro associada a este ransomware é: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run "Popcorn_Time" [caminho_para] \ popcorn_time.exe. Hashes do instalador - SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51.

Você pode ter certeza de que em breve aparecerão instâncias mais interessantes de criptografia ransomware. A propósito, recentemente, um dos programas maliciosos involuntariamente tornou livre a viagem para passageiros da ferrovia de São Francisco. Esse software infectou todos os terminais de pagamento, de modo que os passageiros simplesmente não podiam pagar e puderam viajar de graça (é claro, temporariamente).

Source: https://habr.com/ru/post/pt400005/