感染两个朋友的PC并获取您自己计算机的解锁密钥：一种新的加密勒索软件方案

勒索软件最近已成为一种越来越常见的恶意软件。我们谈论的是加密勒索软件程序，该程序通过感染用户的计算机来加密其所有数据，该密钥位于攻击者的服务器上。 PC感染后，通常可以为用户提供选择-支付一定的费用来解密其文件，或者接受2-3天后将其删除的事实。与这个受害者一起，显示了倒数计时器。

密码勒索专家很多；在所有这些中，有时会发现非常有趣的标本。例如，有一个程序不加密任何东西，而只是永久地删除用户文件，假装是一种加密勒索软件。是的，该程序要钱，但是即使付款，用户也不会收到任何钥匙。即使付款，一切也将被删除，即使没有付款也是如此。另一个程序每小时删除几个文件，这样受害者就承受了很大的压力并且付款更快。最近，出现了一种新的勒索软件“毒株”，它使用最原始的方式来兑现。

几天前，一群自称为MalwareHunterTeam的信息安全专家   发现了一个名为其创建者Popcorn Time的恶意程序。但是该程序提供了一种娱乐受害者的不同方式，而不是盗版内容。提供其计算机感染了这种软件的用户来感染另外两个人的计算机，以便获得解密自己数据的密钥。也就是说，商业企业通常使用的原理是：“带两个朋友免费获得一些东西。”直接电子商务的最纯粹形式。的确，为了使第一个受害者能够收到钥匙，通过推荐链接到达的其他两个受害者必须付款。没有这种条件，就不会有钥匙。

更糟的是，Popcorn Time的开发人员添加了另一个功能：如果用户错误地输入了4次解密代码，则文件将被删除。显然，“爆米花时间”与同名软件无关，后者可以从“盗版”资源中获取媒体内容。



网络罪犯要求提供数据解密密钥的数量非常大。这是1比特币，按当前汇率约合760美元。此外，它只是无法滑动文件-想要感染已经陷入网络犯罪技巧的受害者的用户必须遵循推荐链接。如果有两个人这样做，那么大概这个链中的第一个人可以得到密钥。

为了使最普通的用户能够完成任务，“爆米花时间”在启动时会显示一个窗口，说明整个情况（屏幕截图已张贴在上方）。用户可以简单地付款而不欺骗任何人，也可以艰难地感染两个人的PC。推荐链接显示在说明的正下方。此外，每个受感染的系统都分配有一个唯一的ID，如果用户仍决定这样做，还会向用户显示发送比特币的地址。



分析该软件的源代码时，结果表明它仍在定稿中。上面已经提到的功能“错误输入了4次代码-接收到的PC数据已清除”目前还无法正常工作，但已在代码中注册。因此，您无法说说如果用户尝试猜测代码，该软件是否会真正删除用户文件，还是虚张声势。原则上，攻击者无需添加任何功能-通常，加密勒索软件和其他类型的恶意软件开发人员的道德或道德问题不会太担心。

感染如何发生？

在启动时，该软件会检查它是否以前已经在此PC上运行过，它将检查文件％AppData％\ been_here和％AppData％\ server_step_one。如果至少存在一个文件，则该软件将自行销毁，而不会再次感染计算机（是的，此恶意软件的开发者不想看起来像作弊者，这很明显）。否则，启动文件将下载其他文件并开始加密过程。



然后，该软件搜索Efiles文件夹，“我的文档”，“我的图片”，“我的音乐”和“桌面”，然后尝试查找其中具有特定扩展名的文件，并使用AES-256加密协议对其进行编码。由加密勒索软件处理的文件接收.filock扩展名。

这是此恶意软件寻找以加密它们的文件扩展名的列表：

扩展列表

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

在加密过程中，“爆米花时间”显示类似安装窗口的内容。显然，这样做是为了使用户不会觉得有什么不好并感到安全。



之后，将创建两个文件-restore_your_files.html和restore_your_files.txt。程序将打开并向用户显示第一个文件，扩展名为.html。



发现该软件的专家声称，它仍然可以进行重大更改，因为其创建者正在积极致力于修改该恶意软件。

与该勒索软件关联的注册表项是：HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \运行“ Popcorn_Time” [path_to] \ popcorn_time.exe。安装程序哈希-SHA256：fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51。

您可以确定，很快就会出现更有趣的加密勒索软件实例。顺便说一句，最近，一个恶意程序不由自主地使旧金山铁路的乘客自由出行。该软件感染了所有付款终端，因此乘客根本无法付款，因此他们被允许免费乘坐（当然是暂时的）。

Source: https://habr.com/ru/post/zh-CN400005/