根据国外媒体的最新报道,来自 MalwareHunterTeam 的恶意软件研究专家在暗网中发现了一种名为PopcornTime的新型勒索软件。这款勒索软件目前仍处于开发阶段,而且研究人员还在 暗网 中发现了这款勒索软件的源代码。
需要注意的是,这款勒索软件有一个非常与众不同的特性,它给受感染的用户提供了两种选择: 支付赎金来解锁数据,或者使用推荐链接感染再感染两名其他的用户。 这样一来,当另外两名潜在的感染用户支付了数据赎金之后, 之前最初受感染的那位用户就可以收到一个免费的解密密钥,并使用这个密钥来解锁自己被勒索软件加密的文件。
研究人员表示,PopcornTime勒索软件使用的加密算法为AES-256,它可以加密的文件类型已经超过了五百种。用户的文件在被加密之后,PopcornTime会在被加密文件的文件名结尾添加后缀名“.filock”或“.kok”。而且这款勒索软件在这周刚刚得到更新,并增加了大量新的文件格式支持。
BleepingComputer.com的创始人Lawrence Abrams在接受采访时 表示 :
“PopcornTime给受感染用户提供的这种选择是非比寻常的,也是带有犯罪性质的,有的用户很可能会为了得到免费的解密密钥而选择将这款勒索软件传播出去。我在此之前从未见过这样的勒索软件, 也许这也是勒索软件发展的新趋势。
当PopcornTime在对数据进行加密的过程中,它会显示一个伪造的页面让用户以为计算机正在安装某个应用程序。当PopcornTime成功感染了目标主机并完成了文件加密之后,它会对两个base64字符串进行转码,然后将转码得到的信息(勒索信息)保存在restore_your_files.html和restore_your_files.txt这两个文件中。接下来,这些勒索信息将会自动显示在HTML页面中。”
想要免费的解密密钥吗?再感染两个用户吧!
这款勒索软件在成功感染用户之后,会在用户的计算机中留下以下信息:
“很遗憾,你的计算机以及其中的重要文件已经被我们加密了。不过别着急,你也不用担心,因为你仍然可以通过某种方法恢复这些被加密的文件。 将下方给出的链接发送给其他人,如果两位或两位以上的用户感染了PopcornTime的话,你就可以免费得到一个解密密钥,你可以使用这个免费密钥解锁你的全部文件。 ”
我们可以从勒索信息中了解到,勒索软件PopcornTime的开发者声称自己是一群来自叙利亚共和国的计算机专业的大学生。
Abrams在对这款勒索软件的源代码进行分析之后发现,该勒索软件的源代码是不完整的,其中的某些控制命令和远程控制服务器无法正常工作,而且还有很多功能目前仍处于开发阶段。
这款勒索软件另外一个非常有趣的地方在于, 根据勒索信息中的描述,PopcornTime勒索软件的收入将用于为叙利亚内战的受害平民提供食物、医疗和临时居所。
而且PopcornTime的开发者还表示:“您现在必须要做出选择了,我们对此深感抱歉,因为这是我们生存下去的唯一方法了。要么支付赎金,要么感染其他的用户。”
输错四次密码,就GG了!
根据勒索软件在受感染用户的计算机中所留下的信息,PopcornTime的勒索金额为1比特币(价值5390元人民币)。这款软件还限制用户尝试输入解密密钥的次数。
Abrams补充说到:
“更加恐怖的是,我们在对这份未开发完成的勒索软件源代码进行分析的过程中发现,如果用户输错四次解密密钥之后,用户计算机中所有的文件都会立刻被删除。”
作者:佚名
来源:51CTO
