Исследователи обнаружили криптоблокера в стадии разработки, который цинично предлагает жертве расшифровать ее файлы бесплатно, если она согласится заразить двух знакомых и те уплатят выкуп.

«Я никогда еще не встречал что-либо подобное среди вымогателей, — говорит Лоуренс Абрамс (Lawrence Abrams) с IT-сайта BleepingComputer.com, известивший всех об этой находке. — Это первый случай в моей практике».

О новом вымогателе, именуемом Popcorn Time (не путать с одноименным приложением для просмотра видеоконтента!), Абрамс узнал из твита исследователя MalwareHunterTeam, который обнаружил вредоносное приложение в Дарквебе. Анализ кода подтвердил, что данный зловред предоставляет жертве выбор: платить выкуп или послать двум пользователям ссылку на вредоносный файл и ждать положительного результата. Получил ли Popcorn Time распространение и насколько широкое, выяснить не удалось. «Этот код неполон, некоторые C&C-серверы не работают, и некоторые важные компоненты пока отсутствуют», — комментирует результаты Абрамс.

По свидетельству исследователя, список типов файлов, шифруемых Popcorn Time, содержит более 500 позиций. Новый зловред оперирует 256-битным ключом AES и, зашифровав файл, добавляет расширение .filock. Судя по приведенному на BleepingComputer.com скриншоту, жертва должна уплатить выкуп («быстрый и легкий путь», как пишут злоумышленники) или найти новых жертв («поступить низко») в течение недели.

«С прискорбием сообщаем, что ваш компьютер и файлы зашифрованы, но не отчаивайтесь. Способ восстановить и компьютер, и файлы все же есть… Пошлите указанную ниже ссылку другим людям. Если два человека или более установят этот файл и заплатят, мы расшифруем ваши файлы бесплатно».

popcorn-time-ransom-note

При этом создатели вымогательской программы называют себя «группой студентов-информатиков из Сирии» и утверждают, что доходы от деятельности блокера пойдут на закупку продовольствия и лекарств, а также на оплату жилья для сирийцев, пострадавших в ходе военных действий. «Мы очень сожалеем, что приходится заставлять вас платить», — пишут эти «благодетели».

За расшифровку файлов они взимают 1 биткойн (около $800), при этом жертва может использовать ключ ограниченное число раз. «В вымогательской программе есть незаконченный код, на основании которого можно предположить, что при четырехкратной ошибке ввода ключа шифровальщик начнет удалять файлы», — пишет Абрамс на сайте Bleeping Computer.

Насколько эффективен такой способ распространения и монетизации вымогательских программ, сказать пока трудно. «Многие ли решатся нарушить закон и будут пытаться заразить других? — гадает Абрамс. — Думаю, нет. Тем не менее найдутся мерзавцы, которых не смутит аморальность такого поступка, и они рискнут попробовать».

Категории: Аналитика, Вредоносные программы