my-sky 发表于 2016-12-13 15:06:32

勒索软件传播新模式:受害人感染他人,获得免费解密密钥

昨天, MalwareHunterTeam发现了一个名为“Popcorn Time”的、新开发的勒索软件,这个勒索软件试图给受害人一个犯罪的、很不寻常的方法,让受害人获得一个免费的文件解密密钥。“Popcorn Time”不仅可以让受害人通过支付赎金来恢复他们的文件,还可以通过让受害人去感染两个新用户,并让他们支付赎金的方式,去获得一个免费的解密密钥。
更严重的是,在未完成的勒索软件代码中还发现,如果用户输入错误的解密密钥4次以上,勒索软件有可能会将文件删除。
想要一个免费的解密密钥?只需要做一个卑鄙的人
在这一事件中,我们没有看到其他勒索软件会这样做,而这个勒索软件给受害人提供了一个“下流的方法”---受害人通过传播勒索软件,去获得免费解密密钥。如果两个被感染的新人,是通过受害人“介绍的链接”而感染,并且支付了赎金,那么这个受害者据称将会得到一个免费的解密密钥。
为了实现这一目标,“Popcorn Time”的勒索信件中会包含一个指向勒索软件TOR服务器的URL。此刻,这个服务器是关闭的,因此还不能确定,这个文件为了哄骗人们去安装它,会如何出现或如何伪装。http://p7.qhimg.com/t015a5d3785485ff3ed.png
输入错误的解密密钥4次,你的文件就有可能会被删除当“Popcorn Time”被运行后,它会显示一个锁定屏幕的图片,如下所示,但是充满了与你的特定安装有关的各种信息。比如,“”是受害人的独立ID,是受害人需要支付比特币的地址。还包括一个受害人输入解密密钥的字段,受害人支付赎金后会得到解密密钥。
http://p5.qhimg.com/t019f6680d82c7bcec4.png下面的勒索软件源代码表明:开发者有可能会增加一个功能,当你输入错误的解密密钥4次后,受害者的文件有可通会被删除。http://p9.qhimg.com/t014b5466a216f7a103.png由于这个勒索软件还在开发之中,因此,还不知道这恐怖的手段、或这段代码最后会不会被添加。考虑到这个开发者给帮助他传播勒索软件的人,提供免费解密密钥的机会,他的道德水平已经降到了新的低点,因此如果这个新的功能被添加,也就不是什么令人吃惊的事情了。
Popcorn Time”勒索软件如何加密一个计算机
“Popcorn Time”一旦运行,会首先检查各种文件,来确定它是不是已经被运行过。比如:%AppData%\been_here and %AppData%\server_step_one。如果这个文件已经存在,就意味着计算机已经被加密过,勒索软件会将自己主动结束。如果不存在,它将会下载各种图像作为背景使用,或启动加密进程。
http://p6.qhimg.com/t01160d49e633b583b2.png由于这个勒索软件还处在开发之中,目前,它的攻击目标只是受害人桌面上的一个名为“Efiles ”的文件夹(看一看下面的更新)。它会搜索这个文件夹下面的所有文件,并确定文件后缀名是不是目标文件的后缀名,并且将目标文件用AES-256算法进行加密。当一个文件被加密后,该文件会增加“.filock”后缀名。比如,一个名为test.jpg的文件被加密后,名称会变为test.jpg.filock。2016年12月9日更新:这个勒索软件已经把要加密的文件夹位置变为“My Documents, My Pictures, My Music, and the desktop”目标文件后缀名:http://p4.qhimg.com/t010d3690bcf7a4d4d6.png当加密文件时,它会用一个程序安装图片进行伪装。http://p2.qhimg.com/t0129ac01618f379171.png当一个计算机上的文件被加密后,它会解码两个BASE64字符串,并作为勒索信件,存储为“restore_your_files.html”和“restore_your_files.txt”。其中,HTML的勒索信件会被自动显示出来。http://p5.qhimg.com/t015e8127201a5a4877.png
http://p4.qhimg.com/t0167c17ea7aad9e33c.png正如我们所说的,这个勒索软件目前正在开发中,所以很多东西随着时间的变化,有可能会发生变化,我们将会不断发布新的信息。下面是和“Popcorn Time”勒索软件有关的文件:restore_your_files.html   
restore_your_files.txt
popcorn_time.exe注册表中和Popcorn Tim勒索软件有关的值:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Popcorn_Time" \popcorn_time.exe
和Popcorn Tim勒索软件通信的网站:https://3hnuhydu4pd247qb.onion
http://popcorn-time-free.netPopcorn Tim安装文件的HASH值: SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51转自安全客原文链接:https://www.bleepingcomputer.com/news/security/new-scheme-spread-popcorn-time-ransomware-get-chance-of-free-decryption-key/

fuyun_15155 发表于 2016-12-14 17:41:00

哎,我昨天就被勒索2个BT
页: [1]
查看完整版本: 勒索软件传播新模式:受害人感染他人,获得免费解密密钥