Mở khóa tệp tin Ransomware miễn phí nếu bạn bị nhiễm
Máy tính của bạn đã bị nhiễm Ransomware? Bạn đã trả một khoản tiền chuộc cho kẻ tấn công hoặc người phát tán để có được khoá giải mã.
Vâng, kỹ thuật mới này đã được sử dụng bởi tội phạm mạng với một loạt gần đây nhất của Ransomware Threat, được goi là Popcorn Time.
Ban đầu nó được phát hiện bởi MalwareHunterTeam, Popcorn Time Ransomware mới đã được thiết kế để các nạn nhân cách nhận được khóa giải mã miễn phí cho các tập tin và thư mục đã được mã hóa của họ.
Popcorn Time làm việc tương tự các Ransomware Threats phổ biến khác, như là Crysis Ransomware and TeslaCrypt, những mã hóa dữ liệu khác nhau được lưu trữ trên các máy tính bị nhiễm và nó yêu cầu các nạn nhân phải trả tiền chuộc để phục hồi dữ liệu của họ.
Nhưng để lấy được các tập tin quan trọng của họ trở lại, Popcorn Time cho các nạn nhân quyền lựa chọn để trả tiền chuộc cho tội phạm mạng hoặc lây nhiễm vào hai người khác và họ sẽ trả tiền chuộc để lấy được khóa giải mã miễn phí.
Điều tệ hơn là gì ? Những nạn nhân được khuyến khích trả tiền chuộc của 1 Bitcoin (~$750) trong thời hạn 7 ngày để nhận được khóa giải mã đã được lưu trữ trên một máy chủ từ xa thuộc sở hữu của các nhà phát triển Popcorn Time.
Nếu tiền chuộc không được thanh toán trong thời gian quy định này, khóa giải mã sẽ bị xóa vĩnh viễn và việc láy lại các tập tin quan trọng là điều không thể.
Hơn nữa, các mã của Ransomware là không hoàn chỉnh có thể cho thấy rằng nếu các nạn nhân nhập mã sai 4 lần, Popcorn Time Ransomware sẽ bắt đầu xóa các tập tin của họ.
Đây là cách mà Popcorn Time Ransomware làm việc:
Một khi đã bị nhiễm, Popcorn Time Ransomware sẽ kiểm tra để xem Ransomware đã được chạy trên máy tính chưa. Nếu có, Ransomware sẽ tự kết thúc chính nó.
Nếu không, Popcorn Time Ransomware sẽ tải những hình ảnh khác nhau để dùng như là hình nền hoặc bắt đầu mã hóa các tập tin sử dụng mã hóa AES-256. Các tập tin đã được mã hóa sẽ có ".filock" hoặc ".kok" mở rộng nối vào nó.
Trong khi mã hóa dữ liệu, các Ransomware sẽ hiển thị một màn hình giả để ngụy tạo cài đặt chương trình.
Ngay sau khi mã hóa được hoàn tất, nó sẽ chuyển đổi hai chuỗi base64, lưu chúng như ghi chú ransom được gọi là restore_your_files.html và restore_your_files.txt, và sau đó tự động hiển thị các nốt HTML ransom hỏi cho 1 Bitcoin.
Người tạo ra Popcorn Time quy định " một cách xấu xa " cho nạn nhân để có được khóa giải mã miễn phí: Lây lan Ransomware cho hai người khác thông qua " liên kết giới thiệu " của nạn nhân.
Nếu hai nạn nhân bị nhiễm kia trả tiền chuộc, nạn nhân đầu tiên sẽ có được khóa giải mã miễn phí.
Để có thể làm được điều này, phần chú thích khoản tiền chuộc có chứa một URL để vào một tập tin nằm trên máy chủ TOR Time của Popcorn.
Khi thực hiện, Popcorn Time Ransomware sẽ hiển thị một màn hình khóa đã được điền với nhiều thông tin khác nhau liên quan đến thiết bị lắp đặt cụ thể của nạn nhân.
Nạn nhân cũng sẽ tìm thấy một phạm vi để có thể nhập khóa giải mã sau khi đã trả tiền chuộc cho những kẻ tấn công.
Mã nguồn của Popcorn Time có chứa một hàm cho thấy mối đe dọa để xóa các tập tin, nếu các nạn nhân nhập khóa giải mã sai 4 lần.
Popcorn Time Ransomware vẫn còn đang được phát triển tại thời điểm của bài viết, có những điểm chưa rõ ràng và có thể sẽ thay đổi theo thời gian.
Theo TheHackerNews