Abbiamo avuto modo di conoscere Popcorn Time come mezzo di diffusione di contenuti protetti da copyright; oggi, però, a questa definizione se ne associa un’altra ben più inquietante: sfruttando infatti la notorietà del celebre client, alcuni cybercriminali hanno creato e diffuso (purtroppo con successo) un nuovo ransomware, che prende proprio il nome di “Popcorn Time Ransomware”. La scoperta arriva dai ricercatori di MalwareHunterTeam.
Ransomware Popcorn Time: come funziona
La nuova minaccia è dedicata al sistema operativo Windows e si spaccia per il file di installazione di Popcorn Time: al momento il nome con cui il ransomware si diffonde è popcorn_time.exe e, una volta aperto, rassomiglia abbastanza al vero e proprio installer di Popcorn Time. Con una differenza chiave: il ransomware non installerà un bel niente ma cifrerà alcuni file presenti sul desktop (video, audio, foto e documenti) con chiave AES-256 e li rinominerà con estensione .kok o .filock. Al momento della stesura dell’articolo sembra che il ransomware coinvolga solo e soltanto i file presenti sul desktop, il che fa pensare ad una minaccia ancora incompleta – ma non per questo meno dannosa.
Come sempre le vittime potranno scegliere di pagare per decifrare i file: Popcorn Time chiede 1 Bitcoin (circa 730€ al cambio attuale) per ricevere la chiave di recupero dei file. Non bisogna fare i furbetti ed andare a tentativi: dopo aver inserito 4 chiavi errate il ransomware eliminerà definitivamente i file cifrati.
Paga o… diffondi!
La novità sta comunque nella seconda modalità di riscossione, molto più subdola: la vittima potrà scegliere di evitare il pagamento infettando a sua volta due amici (con un referral fornito dal ransomware stesso); se entrambi gli amici infettati pagheranno per liberarsi del ransomware, la vittima originale potrà ri-ottenere accesso ai suoi file in modo del tutto gratuito, risparmiando i 700€. In tal modo il ransomware Popcorn Time potrà non solo diffondersi a macchia d’olio ma guadagnare sempre di più giocando sul “lato oscuro” di ognuna delle sue vittime.
In tutto questo, però, c’è da considerare il limite di tempo: la vittima avrà soltanto 7 giorni per pagare o per diffondere il malware ed ottenere la chiave gratis, poiché trascorso tale periodo la chiave di decifratura sarà eliminata dal server e i file saranno completamente irrecuperabili.
Sembra comunque che questi criminali agiscano per “giusta causa”: essi si presentano come studenti di informatica siriani che devolveranno i soldi ricevuti dal pagamento dei riscatti per offrire cibo e assistenza alle vittime della guerra in Siria. Questo però non possiamo garantirlo, così come possiamo garantire che – effettuato il pagamento – la chiave verrà effettivamente inviata.
Dunque la raccomandazione è sempre la stessa: facciamo bene attenzione a cosa scarichiamo, evitiamo particolari software (men che meno se da dubbie posizioni) e, se proprio non possiamo farne a meno, cerchiamo di provarli su una macchina virtuale prima di eseguirli sul nostro PC.
