Mã độc tống tiền sẽ giải mã miễn phí nếu nạn nhân lây mã độc cho những người khác

09:18 | 21/12/2016

Loại mã độc tống tiền mới được gọi là Popcorn Time, do MalwareHunterTeam phát hiện ra, cho nạn nhân một cách khác để lấy khoá giải mã các tệp của họ mà không phải trả tiền chuộc.



Giống như những loại mã độc tống tiền phổ biến khác, Popcorn Time mã hoá một số dữ liệu trong máy tính của nạn nhân rồi yêu cầu họ trả tiền để có thể giải mã và khôi phục dữ liệu. Nếu họ không trả số tiền 1 Bitcoin (tương đương với khoảng 750 đô la vào thời điểm hiện tại) trong khoảng thời gian 7 ngày để nhận khoá giải mã được lưu trên một máy chủ do những kẻ phát triển Popcorn Time sở hữu, các tệp đã mã hoá sẽ bị xoá và không thể khôi phục được nữa. Ngoài ra, mã độc còn có thể xoá tệp của nạn nhân nếu họ nhập khoá giải mã sai 4 lần.

Sau khi lây nhiễm, Popcorn Time sẽ kiểm tra xem nó đã chạy trên máy tính đó chưa, nếu đã chạy, mã độc sẽ tự chấm dứt. Nhưng nếu chưa chạy, Popcorn Time sẽ tải xuống những hình ảnh khác nhau để làm nền hoặc bắt đầu mã hoá các tệp bằng thuật toán AES với khoá 256 bit. 

Các tệp mã hoá sẽ được gắn thêm phần mở rộng ".filock" hay ".kok". Trong quá trình mã hoá, mã độc này hiển thị màn hình giả như đang cài đặt ứng dụng. Sau khi mã hoá xong, nó sẽ chuyển đổi hai chuỗi base64 rồi lưu chúng thành 2 thông báo tống tiền restore_your_files.html và restore_your_files.txt, và cuối cùng là hiển thị thông báo tống tiền HTML.

Điểm đặc biệt là Popcorn Time cho nạn nhân thêm một lựa chọn nữa ngoài việc trả tiền chuộc, đó là gửi đi liên kết giới thiệu để lây mã độc cho máy tính của nạn nhân khác. Nếu hai người đó trả tiền chuộc thì nạn nhân có công “giới thiệu” sẽ nhận được khoá giải mã miễn phí. 

Để nạn nhân có thể “giới thiệu” với nạn nhân khác, trong thông báo tống tiền có chứa URL trỏ tới một tệp trên máy chủ TOR của Popcorn Time.