Il ransomware piramidale incita a tradire

Pagare o infettare due conoscenti e indurli al pagamento: alla vittima viene offerta una possibilità di scelta per liberarsi di un ransomware di recente individuazione
Pagare o infettare due conoscenti e indurli al pagamento: alla vittima viene offerta una possibilità di scelta per liberarsi di un ransomware di recente individuazione

Il malcapitato utente che sia stato colpito viene posto di fronte ad una scelta per recuperare l’accesso ai propri file cifrati dal ransomware: pagare la somma richiesta oppure indurre due conoscenti a contrarre l’infezione e a pagare per liberarsene. Questo è il comportamento di un ransomware individuato dai ricercatori di Malware Hunter Team, ransomware che, facendo leva su rapporti di fiducia (malriposta), mira a duplicare i propri incassi truffaldini.


Denominato Popcorn Time ( popcorn_time.exe ), giocando sulla residua popolarità dell’ omonimo client P2P , il ransomware sarebbe ancora incompleto ma mostra con chiarezza le sue ambizioni. A seguito di una ingannevole schermata di installazione, il software prende di mira documenti, immagini, musica e i file posti sul desktop cifrandoli con algoritmo AES con chiave a 256 bit e apponendovi l’estensione .filock o .kok . Per liberare i file all’utente è chiesto di corrispondere una somma pari a un bitcoin entro 7 giorni , oppure di passare dalla parte dei cattivi .

La scelta per l'utente

Alla vittima del ransomware viene fornito un link che agisce da referral e che punta al server TOR su cui è ospitato il malware: dovrà infettare almeno due utenti, e solo nel momento in cui i due malcapitati abbiano pagato la somma richiesta gli verrà fornita la chiave per decifrare i file.

A tutela del proprio funzionamento, il malware sembra poter implementare una funzione per cancellare i file cifrati nel momento in cui si inserisca per quattro volte una chiave errata, scoraggiando così coloro che vogliano sfuggire al ricatto.

Gli sviluppatori del ransomware, nel messaggio recapitato alle vittime, assicurano che i denari rastrellati verranno investiti per una buona causa: si dichiarano studenti siriani, e si scusano per aver adottato un metodo di tal fatta per raccogliere fondi utili a supportare i propri concittadini colpiti dal conflitto che da anni sta martoriando il paese.

Gaia Bottà

Link copiato negli appunti

Ti potrebbe interessare

12 12 2016
Link copiato negli appunti