Noticias
Un nuevo ransomware permite descifrar a cambio de infectar a otros usuarios
Popcorn Time es un nuevo ransomware que tiene la peculiaridad de tener dos vías para poder descifrar los ficheros en un ordenador infectado.
Al igual que sucede con la mayoría del ransomware, Popcorn Time infecta ordenadores Windows y cifra ficheros utilizando AES-256. Después de infectar el sistema y cifrar los ficheros, el ransomware pide el pago de un bitcoin (unos 780 dólares) para revertir los efectos. Sin embargo, también plantea otra forma de recuperar los ficheros de forma gratuita, aunque para ello la víctima tendrá que pasar un enlace a otros dos usuarios que terminarán infectados. Tras hacer esto, la víctima que ha ayudado a expandir Popcorn Time recibirá la clave de descifrado.
En caso de no realizar ninguna transferencia (ya sea el pago o el contagiar a otros dos usuarios) antes de siete días, los ficheros serán borrados de forma permanente del ordenador de la víctima. Por otro lado, su código, el cual está en constante evolución, indica que está programado para realizar la misma operación en caso de que una víctima falle 4 veces a la hora de descifrar los ficheros.
Popcorn Time cifra los ficheros hallados en las subcarpetas Documentos, Imágenes, Música y Escritorio de Windows. Según las imágenes publicadas por MalwareHunterTeam, su origen estaría en Siria, país que lleva en guerra cinco años. Entre los mensajes mostrados por el ransomware nos encontramos una triste historia personal, seguida de una explicación indicando que la intención es utilizar el dinero recaudado para alimentos, medicamentos y refugio para los necesitados, que además viene acompañada de una disculpa anticipada. Sin embargo, no tenemos ninguna prueba de que esto sea cierto, y en caso contrario, recaudar dinero de esta forma es totalmente incorrecto desde el punto de vista moral y legal.
Algunos aspectos técnicos a tener en cuenta de Popcorn Time
Ficheros asociados:
restore_your_files.html restore_your_files.txt popcorn_time.exe
Entradas del registro asociados:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Popcorn_Time" [path_to]\popcorn_time.exe
Comunicaciones de redes asociadas:
https://3hnuhydu4pd247qb.onion http://popcorn-time-free.net
Hash del instalador:
SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51
Fuentes | ZDNet y BleepingComputer