Il ransomware che concede gratis le chiavi di decodifica alle vittime che infettano gli altri

I ricercatori hanno scoperto un cryptoblocker in fase di sviluppo, il quale propone cinicamente alla vittima la decodifica gratuita dei file compromessi, se il malcapitato si dichiara d’accordo ad infettare i computer di due suoi conoscenti, e se questi ultimi pagano, poi, il riscatto.

“Non ho ancora visto nulla di simile, per i ransomware, – afferma Lawrence Abrams, fondatore di BleepingComputer.com, che ha informato tutti riguardo a tale scoperta. – È il primo caso del genere in cui mi imbatto”.

Abrams è venuto a conoscenza del nuovo ransomware, chiamato PopcornTime (da non confondere con l’omonima applicazione utilizzata per visualizzare contenuti video!), attraverso un tweet di un ricercatore di MalwareHunterTeam, che ha individuato l’applicazione nociva sul Dark Web. L’analisi del codice ha confermato che tale malware offre alla vittima una precisa scelta: pagare il riscatto oppure inviare a due utenti il link che conduce al file maligno, ed attendere poi un esito “positivo”. Non è stato possibile chiarire, per il momento, se Popcorn Time sia stato già distribuito, e in quale misura. “Il codice è incompleto; alcuni server C&C non funzionano, e mancano, per ora, alcuni importanti componenti”, – commenta Abrams.

Secondo il ricercatore, l’elenco dei tipi di file cifrati da Popcorn Time contiene oltre 500 voci. Il nuovo malware opera per mezzo di una chiave AES a 256 bit e, dopo aver codificato il file, aggiunge l’estensione .filock. Secondo lo screenshot riportato su BleepingComputer.com, la vittima deve pagare il riscatto (“il modo semplice e rapido”, come scrivono i malintenzionati), oppure trovare nuove vittime (“il modo cattivo”) entro una settimana.

“Siamo spiacenti di informarti che il tuo computer e i tuoi file sono stati criptati, ma non disperarti. C’è, comunque, un modo per ripristinare il tuo computer e recuperare tutti i tuoi file… Invia ad altre persone il link qui sotto indicato. Se due o più persone installeranno questo file e pagheranno, decifreremo gratis i tuoi file”.

Il ransomware che concede gratis le chiavi di decodifica alle vittime che infettano gli altri

Inoltre, gli autori del programma estorsore si definiscono “un gruppo di studenti di informatica siriani” e sostengono che i ricavi ottenuti a seguito dell’attività del blocker saranno utilizzati per acquistare cibo e medicine, e per pagare gli alloggi, per i siriani che hanno sofferto nel corso delle operazioni militari. “Ci dispiace davvero molto doverti costringere a pagare”, – scrivono questi “benefattori”.

Per procedere alla decodifica dei file essi richiedono 1 bitcoin (circa 800 dollari); la vittima potrà tuttavia utilizzare la relativa chiave per un numero limitato di volte. “Il programma ransomware presenta codice non completato, in base al quale si può presumere che, dopo il quarto tentativo errato nell’inserire la chiave, il cryptoblocker inizi ad eliminare i file”, – scrive Abrams sul sito di BleepingComputer.

È difficile dire, per il momento, quanto sia efficace un simile metodo di diffusione e monetizzazione dei programmi ransomware. “Saranno in molti a decidere di infrangere la legge e cercare, quindi, di infettare gli altri? – si chiede Abrams. – Credo di no. Vi saranno comunque dei mascalzoni che non si preoccuperanno dell’immoralità di un simile comportamento, e si prenderanno quindi il rischio di provare”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *