PopCornTime Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,5-1,0 биткоинов, чтобы вернуть файлы. Название оригинальное, указано в проекте. Разработчики называют себя группой сирийских студентов.
© Генеалогия: HiddenTear >> Popcorn Time Ransomware
Popcorn Time — кроссплатформенный свободный BitTorrent-клиент, включающий медиапроигрыватель, позволяющий транслировать фильмы и телепередачи через торренты. На фоне его известности решили сыграть вымогатели, которые распространяют под видом нового инсталлятора установочный файл с вирусом-шифровальщиком.
Оригинальный логотип реального Popcorn Time
К зашифрованным файлам добавляется расширение .kok или .filock
Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
restore_your_files.txt
restore_your_files.html
Содержание текстовой записки о выкупе:
Warning Message!!
We are sorry to say that your computer and your files have been encrypted,
but wait, don’t worry. There is a way that you can restore your computer and all of your files
***
Your personal unique ID: [UID]
You must send at least [BAMOUNT] Bitcoin to address [WADDRESS] to get your files back
Warning!!! If you will not pay for the next 7 days, the decryption key will be deleted and your files will be lost forever.
***
Restoring your files - The fast and easy way
To get your files fast, please transfer [BAMOUNT] bitcoin to our wallet address [WADDRESS]. When we will get the money, we will immediately give you your private decryption key. Payment should be confirmed in about 2 hours after payment made.
Restoring your files - The nasty way
Send the link [RLINK] below to other people, if two or more people will install this file and pay, we will decrypt your files for free.
What we did?
We had encrypted all of your important images, documents, videos and all other files on your computer,
We used a very strong encryption algorithm that used by all governments all over the world.
We store your personal decryption code to your files on our servers and we are the only ones that can decrypt your files.
Please don't try to be smart, anything other than payment will cause damage to your files and the files will be lost forever!!!
If you will not pay for the next 7 days, the decryption key will be deleted and your files will be lost forever.
Why we do that?
We are a group of computer science students from Syria, as you probably know Syria is having bad time for the last five years.
Since 2011 we have more the half million people died and over 5 million refugees. Each member of our team has lost a dear from his family.
I personally have lost both my parents and my little sister in 2015.
The sad part is that the world remained silent and no one helping us so we decided to take an action.
How to buy Bitcoins?
If you aren't familiar with Bitcoin and don't know what is it,
please visit the official Bitcoin website (https://bitcoin.org/en/getting-started),
follow the steps and you'll get your Bitcoins.
To understand more you can check also on the FAQ page (https://bitcoin.org/en/faq).
Please check this website (https://coinatmradar.com/) where you can find Bitcoin ATM all over the world.
List of encrypted files on your computer
[FILES_LIST]
Перевод записки на русский язык:
Предупреждающее сообщение!!
К сожалению, должен сказать, что ваш компьютер и ваши файлы были зашифрованы,
но подождите, не волнуйтесь. Есть способ, что вы можете восстановить ваш компьютер и все ваши файлы
***
Ваш личный уникальный ID: [UID]
Вы должны отправить минимум [BAMOUNT] Bitcoin на адрес [WADDRESS], чтобы получить файлы обратно
Предупреждение!!! Если вы не заплатите в течение следующих 7 дней, ключ дешифрования будет удален, и ваши файлы будут потеряны навсегда.
***
Восстановление файлов - быстрый и простой способ
Для того, чтобы получить ваши файлы быстро, пожалуйста, переведите [BAMOUNT] Bitcoin на адрес нашего кошелька [WADDRESS]. Когда мы получим деньги, мы сразу же дадим вам ваш личный ключ дешифрования. Оплата должна быть подтверждена в течение примерно 2 часов после сделанной оплаты.
Восстановление файлов - другой путь
Отправить ссылку [RLINK] ниже для других людей, если два или больше людей установят этот файл и заплатят, мы расшифруем ваши файлы бесплатно.
Что мне делать?
Мы зашифрованы все важные изображения, документы, видео и все другие файлы на вашем компьютере,
Мы использовали очень сильный алгоритм шифрования, который используют все правительства в мире.
Мы сохранили ваш персональный код дешифрования файлов на наших серверах, и мы единственные, кто может расшифровать ваши файлы.
Пожалуйста, не пытайтесь умничать, всё что-либо, кроме оплаты, может привести к повреждению ваших файлов и файлы будут потеряны навсегда!!!
Если вы не будете платить в течение следующих 7 дней, ключ дешифрования будет удален, и ваши файлы будут потеряны навсегда.
Почему мы делаем это?
Мы являемся группой студентов информатики из Сирии, как вы, вероятно, знаете, Сирия переживает плохое время в течение последних пяти лет.
С 2011 года у нас уже больше полутора миллионов человек погибли и более 5 миллионов беженцев. Каждый член нашей команды потерял дорогого из своей семьи.
Я лично потерял обоих моих родителей и мою младшую сестру в 2015 году.
Печально то, что мир молчал, и никто не помогать нам, поэтому мы решили принять меры.
Как купить биткоины?
Если вы не знакомы с Bitcoin и не знаете, что это, пожалуйста, посетите официальный сайт Bitcoin (https://bitcoin.org/en/getting-started), следуйте инструкциям, и вы получите ваши биткоины.
Чтобы понять больше, вы можете проверить также на странице FAQ (https://bitcoin.org/en/faq).
Пожалуйста, проверьте этот сайт (https://coinatmradar.com/~~HEAD=dobj), где вы можете найти Bitcoin ATM во всем мире.
Список зашифрованных файлов на вашем компьютере
[FILES_LIST]
Информатором жертвы также выступает экран блокировки "Warning Message!!", который дублирует содержание записки о выкупе.
[UID] - уникальный идентификатор жертвы
[WADDRESS] - адрес Bitcoin-кошелька вымогателя
Кроме того, что проект пока находится в разработке, имеется функционал удаления файлов после четырех неудачных попыток ввода кода дешифрования (самое нижнее поле на скриншоте выше).
После запуска шифровальщик проверяет систему на наличие файлов been_here и server_step_one. Если файл been_here существует, то это означает, что компьютер уже зашифрован и шифровальщик завершит работу. Иначе он будет загружать заготовленные изображения, чтобы использовать их в качестве фона или начнёт процесс шифрования файлов.
На данный момент шифровальщик нацелен только на тестовую папку Efiles на рабочем столе. Он будет искать эту папку с файлов, которые имеют заданные расширения, а затем зашифрует их с помощью AES-256.
Во время шифрования жертве показывается следующий фальшивый экран установки и обновления.
Примечательно, но после оплаты вымогатели позаботились о том, чтобы успокоить уплативших выкуп следующей фразой о благотворительности.
"We know that we forced you to pay, but be sure that the payment was for a good cause, The money you gave will be used for food, medicine and shelter to those in need."
Перевод фразы на русский язык:
"Мы знаем, что заставили вас заплатить, но будьте уверены, что платеж был на хорошее дело, деньги, что вы дали, будут использованы для продуктов, медикаментов и жилья для нуждающихся."
После реализации проекта может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов, торрент-загрузок, ботнетов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp (525 расширений).
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
popcorn_time.exe
<random>.torrent.exe
restore_your_files.txt
restore_your_files.html
%AppData%\been_here
%AppData%\server_step_one
Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Popcorn_Time" [path_to]\popcorn_time.exe
Сетевые подключения:
***popcorn-time-free***
***3hnuhydu4pd247qb.onion***
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на kok >> Ещё >> Ещё >>
VirusTotal анализ на filock >>
Malwr анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Обновление от 13 декабря 2016:
Пост в Твиттере >>
Жёлтый цвет надписи таймера дней и часов изменился на сиреневый.
С чего бы такие мелочи? :)
Read to links: Tweet on Twitter ID Ransomware (ID as PopCornTime) Write-up on BC * *
Thanks: Michael Gillespie Lawrence Abrams * *
© Amigo-A (Andrew Ivanov): All blog articles.
