Ransomware Popcorn Time: per sbloccare i file puoi pagare o infettare gli altri

Giuseppe Tripodi

Probabilmente la maggior parte dei nostri lettori avranno già sentito il nome di Popcorn Time, ma quello di cui vi parliamo oggi non è il noto software illegale per visualizzare contenuti pirata, ma un nuovo ransomware omonimo che sfrutta la notorietà del programma per diffondersi in quanti più computer possibili.

Come molti di voi sapranno, per ransomware si intende un tipo di malware che, dopo aver infettato il computer della vittima, cripta i file dell’utente rendendoli inutilizzabili e chiede un riscatto (ransom, in inglese) per fornire la chiave di sblocco, che renderà i file nuovamente accessibili.

LEGGI ANCHE: Non aprite quella foto: un malware circola sui social tramite immagini vettoriali

Tuttavia, questo nuovo ransomware scovato da MalwareHunterTeam lascia una seconda possibilità all’utente che vuole riavere indietro i propri file: la vittima può pagare 1 bitcoin (circa 730€ al cambio attuale) o infettare altre persone; il ransomware, infatti, fornisce un link da inviare ad altri malcapitati e, se almeno 2 di questi pagano il riscatto, il malware fornirà la chiave per decriptare i file anche a chi ha contribuito a diffondere l’infezione.

Andando più nello specifico, ecco come funziona la minaccia.

Ransomware Popcorn Time: come funziona

Una volta che la vittima avvia l’eseguibile, il ransomware presenterà una schermata in cui fingerà di installare Popcorn Time; in realtà, durante il tempo di attesa, il software cripta i file dell’utente con cifratura AES-256. Una volta completato il processo, i file criptati avranno estensione “.filock” o “.kok” e sarà praticamente impossibile averli indietro, a meno di non inserire l’apposita chiave di sblocco.

A questo punto verrà avviato un conto alla rovescia di 7 giorni, terminati i quali la chiave di decriptazione verrà eliminata dai server del ransomware e non ci sarà più alcun modo di ottenere i propri file indietro; inoltre, inserendo il codice errato 4 volte, il malware eliminerà i file degli utenti.

ransomware-popcorn-time-2

Insomma, come suggerisce il file di testo allegato e la pagina HTML che si aprirà automaticamente, ci sono solo due modi per riavere indietro i propri file: pagare il riscatto o infettare quante più persone possibili sperando che almeno due di queste paghino la cifra richiesta.

Inoltre, vale la pena segnalare che nella suddetta pagina gli hacker si presentano come un gruppo di studenti di informatica siriani che utilizzeranno i soldi dei riscatti per fornire cibo e assistenza alle vittime della guerra in Siria ma, ovviamente, non c’è alcun modo di verificare la notizia e potrebbe trattarsi di un escamotage per estorcere denaro più facilmente.

ransomware-popcorn-time-3

Per concludere, segnaliamo che secondo quanto riportato da MalwareHunterTeam il ransomware in questione non è ancora concluso e il team di hacker sta ancora lavorando al suo sviluppo: fate quindi attenzione a ciò che scaricherete nelle prossime settimane.

Via: TheHackerNews