MalwareHunterTeam heeft een nieuwe ransomware ontdekt, die momenteel nog in ontwikkeling is. De ransomware, Popcorn Time genaamd, maakt gebruik van AES-256-encryptie om alle bestanden op de computer van zijn slachtoffer te encrypteren. Net als bij ransomware die eerder al de ronde deden, kan je geld betalen aan de cybercriminelen om je files te decrypteren. De hackers geven je echter eveneens de kans om een gratis sleutel te krijgen. Hiervoor dien je wel zelf de criminaliteit in te duiken en een downloadcode van de ransomware met anderen te delen.
Encryptie
Uit de broncode van de malware blijkt dat Popcorn Time in de eerste plaats nakijkt of je al slachtoffer bent geworden van de ransomware. Hiervoor gaat het op zoek naar onder andere de bestanden ‘been_here’ en ‘server_step_one’. Indien deze files niet op je computer aanwezig zijn, zal de ransomware beginnen met het downloaden van afbeeldingen en encrypteren van je bestanden.
De afbeeldingen zullen worden gebruikt tijdens het encryptieproces om te doen alsof het een onschuldig programma betreft dat wordt geïnstalleerd. Indien de malware er niet in slaagt de afbeeldingen te downloaden, zal het een waarschuwing tonen waarin wordt gevraagd om je internetverbinding na te kijken en het later opnieuw te proberen.
Next ransomware on the table: Popcorn Time.
Not yet finished.
4th screenshot, “Why we do that?” part. Okay…@BleepinComputer @demonslay335 pic.twitter.com/JHbOjJt7Gb— MalwareHunterTeam (@malwrhunterteam) December 7, 2016
Ransomware verspreiden
Eenmaal je bestanden zijn geëncrypteerd, zal er automatisch een bericht verschijnen telkens wanneer je je computer hebt opgestart. Hierin leggen de cybercriminelen uit dat je bestanden zijn versleuteld en wordt een timer getoond die je zeven dagen de tijd geeft om losgeld te betalen. De hackers vragen 1 bitcoin voor hun diensten, wat op het moment van schrijven overeenkomt met 769 dollar.
Popcorn Time laat je echter eveneens weten dat er een andere manier is om de sleutel voor je bestanden te krijgen. Wanneer je een downloadcode deelt met minstens twee mensen en deze betalen het losgeld, zullen je bestanden gratis worden gedecrypteerd. Dit is de eerste keer dat ransomware een dergelijke tactiek aanneemt en kan ervoor zorgen dat Popcorn Time erg snel verspreid zal geraken.
Goed doel
Tot slot leggen de cybercriminelen uit waarom ze ransomware gebruiken om aan geld te komen. Ze beweren dat ze Syrische studenten zijn en allemaal op zijn minst één familielid zijn verloren door de oorlog in hun land. Het geld dat ze verdienen aan Popcorn Time zou volgens hen worden ingezet voor voedsel, medicijnen en onderdak voor Syrische inwoners. “We vinden het jammer dat we je dwingen om te betalen, maar dit is de enige manier dat we in leven kunnen blijven,” aldus de criminelen.
Ontwikkeling
Momenteel is de ransomware nog in ontwikkeling en wordt de kwaadaardige software nog niet verspreid door de cybercriminelen. De Tor-server waar de downloadlink naar verwijst, is hierdoor nog niet online. Ook kunnen er nog details aan de broncode veranderen. Er staat bijvoorbeeld code in de ransomware waaruit blijkt dat de hackers overwegen om je bestanden te verwijderen wanneer je vier keer de verkeerde decryptiesleutel hebt opgegeven.