知り合いを感染させると、ファイルを無料で復号化できる – ポップコーンタイム・ランサムウェア

ここ2年間で大きな脅威となっているランサムウェアですが、感染した場合、攻撃者に身代金を支払うか、または、さらに友だちに感染を広げて復号鍵をもらう新たなタイプが登場しました。

この新しいテクニックは、最新のランサムウェアをばら撒いているサイバー犯罪者に採用されており、名付けてポップコーンタイムといいます。

MalwareHunterTeamが最初に発見した新しいポップコーンタイム・ランサムウェアは、被害者が、暗号化されたファイルとフォルダのために無料の復号鍵を取得するため、犯罪行為を行うように設計されています。

ポップコーンタイムは、感染したコンピュータに保存されているさまざまなデータを暗号化し、データを回復するために犠牲者に身代金を払うように要求し、Crysis RansomwareやTeslaCryptなどの人気のあるトランスクリプトの脅威と同様に動作します。

しかし、重要なファイルを取り戻すために、ポップコーンタイムは、被害者がサイバー犯罪者に身代金を支払うか、または、無料の復号鍵を得るために、他の2人を感染させ、身代金を支払わせるというオプションを提供しています。

さらに悪いことに、 犠牲者は、ポップコーンタイムの開発者が所有するリモートサーバーに保存されている復号鍵を受け取るために、Bitcoin(〜$ 750)の身代金を7日以内に支払うことが求められています。

この期間内に身代金が支払われない場合、復号鍵は完全に削除され、重要なファイルを取り出すことは不可能になります。

さらに、ランサムウェアのコードが不完全であるため、犠牲者が間違った復号鍵を4回入力すると、ポップコーンタイムのトランスクリプトは犠牲者のファイルの削除を開始することを示している可能性があります。

ポップコーンタイム・ランサムウェアの脅威の仕組みは次の通りです

感染したら、ポップコーンタイム・ランサムウェアは、すでにトランスクリプトがPC上で実行されているかどうかを確認します。 はいの場合、ランサムウェアは終了します。

そうでない場合、ポップコーンタイム・ランサムウェアはAES-256暗号化を使用してファイルをバックグラウンドとして暗号化するか、さまざまなイメージをダウンロードしてバックグラウンドとして使用します。 暗号化されたファイルには拡張子「.filock」または「.kok」が付加されます。

データを暗号化している間、ランサムウェアはプログラムのインストールであると思われる偽の画面を表示します。

暗号化が終了するとすぐに、2つのbase64文字列を変換し、restore_your_files.htmlおよびrestore_your_files.txtという身代金メモとして保存し、1つのBitcoinを要求するHTML身代金メモを自動的に表示します。

無料で復号鍵が欲しいですか? さらに2人に感染を広げると入手できます。

 

犠牲者が無料の復号鍵を取得するための「厄介な方法」を提供しています。犠牲者の「紹介」リンクを介して2人の他の人にランサムウェアを広めます。

これら2人の感染した犠牲者が身代金を支払った場合、最初の犠牲者は無料の復号鍵を取得するでしょう。

これを可能にするために、身代金メモには、ポップコーンタイムのTORサーバーにあるファイルを指すURLが含まれています。

間違った復号鍵を4回入力するとあなたは締め上げ

実行されると、ポップコーンタイムランサムウェアには、犠牲者の特定のインストールに関する様々な情報が記入されたロック画面が表示されます。

また、犠牲者は、身代金を支払った後、攻撃者によって与えられた復号鍵を入力するためのフィールドが出てきますので、そこに入力します。

ポップコーンタイムのソースコードには、被害者が不正な復号コードを4回入力した場合にファイルを削除する脅威を示唆する機能が含まれています。

ポップコーン・タイム・ランサムウェアはまだ執筆時点で開発中であるため、多くのことは不明であり、時間とともに変化する可能性があります。

参照:

http://thehackernews.com/2016/12/ransomware-malware.html