Programa extorsionista ofrece llave de descifrado a cambio de propagar infección

Los investigadores encontraron un malware extorsionista en fase de desarrollo, que cínicamente ofrece a la víctima descifrar sus archivos de forma gratuita si accede a infectar a dos amigos y ellos pagan el rescate.

“Nunca he visto nada parecido entre los extorsionadores” dice Lawrence Abrams del sitio BleepingComputer.com, que dio a conocer la noticia sobre este descubrimiento. “Esta es la primera vez en toda mi carrera”.

Abrams supo del nuevo extorsionista llamado Popcorn Time (que no debe confundirse con la aplicación homónima para ver videos), por un twit de un investigador de MalwareHunterTeam que descubrió la aplicación maliciosa en la Dark Web. El análisis del código confirmó que el programa malicioso le da a elegir a la víctima: pagar el rescate o enviar a dos usuarios el enlace a un archivo malicioso y esperar un resultado positivo. No fue posible establecer si Popcorn Time logró propagarse y en qué dimensiones. “Este código es incompleto, algunos de los servidores de administración no funcionan y algunos componentes importantes todavía no están disponibles”, comentó en los resultados Abrams.

Según el investigador, la lista de tipos de archivos que Popcorn Time puede cifrar contiene más de 500 artículos. El nuevo malware opera con una clave AES de 256 bits, y añade una extensión .filock a los archivos cifrados. Según la captura de pantalla proporcionada por BleepingComputer.com, la víctima debe pagar un rescate (“de forma rápida y fácil”, como dicen los atacantes) o encontrar nuevas víctimas (“actuar mal”) en una semana.

“Lamento informarle que el equipo y los archivos están cifrados, pero no se desespere. Hay una forma de hacer que su equipo vuelva a funcionar y recuperar los archivos. Envíe el siguiente enlace a otras personas. Si dos o más personas instalan este archivo y pagan, descifraremos sus archivos de forma gratuita”.

Al mismo tiempo, los creadores del programa extorsionista se autodenomina “grupo de estudiantes sirios de informática” y afirman que los ingresos de las operaciones del bloqueador se destinarán a la compra de alimentos y medicinas, y para el pago de la vivienda de los sirios afectados por las hostilidades. “Sentimos mucho tener que hacerles pagar”, – escriben los “benefactores”.

Para decodificar los archivos cobran 1 Bitcoin (alrededor de 800 dólares) y la víctima puede utilizar la clave un número limitado de veces. “En el programa hay código inconcluso, que nos permite suponer que después del cuarto error al escribir la clave del cifrador se inicia la eliminación de archivos” – escribe Abrams en el sitio web Bleeping Computer.

Es todavía temprano para decir cuán efectivo es este método de propagación y monetización de malware extorsionista. “¿Serán muchas las personas que se atreverán a violar la ley y tratarán de infectar a otras personas?, se pregunta Abrams. No lo creo. Sin embargo, habrá sinvergüenzas que no se detengan ante la inmoralidad de tal acto, y se aventuren a probar”.

Fuentes: Threatpost