Popcorn Time es un nuevo ransomware que tiene la peculiaridad de tener dos vías para poder descifrar los ficheros en un ordenador infectado.Al igual que sucede con la mayoría del ransomware, Popcorn Time infecta ordenadores Windows y cifra ficheros utilizando AES-256. Después de infectar el sistema y cifrar los ficheros, el ransomware pide el pago de un bitcoin (unos 780 dólares) para revertir los efectos. Sin embargo, también plantea otra forma de recuperar los ficheros de forma gratuita, aunque para ello la víctima tendrá que pasar un enlace a otros dos usuarios que terminarán infectados. Tras hacer esto, la víctima que ha ayudado a expandir Popcorn Time recibirá la clave de descifrado.
En caso de no realizar ninguna transferencia (ya sea el pago o el contagiar a otros dos usuarios) antes de siete días, los ficheros serán borrados de forma permanente del ordenador de la víctima. Por otro lado, su código, el cual está en constante evolución, indica que está programado para realizar la misma operación en caso de que una víctima falle 4 veces a la hora de descifrar los ficheros.
Popcorn Time cifra los ficheros hallados en las subcarpetas Documentos, Imágenes, Música y Escritorio de Windows. Según las imágenes publicadas por MalwareHunterTeam, su origen estaría en Siria, país que lleva en guerra cinco años. Entre los mensajes mostrados por el ransomware nos encontramos una triste historia personal, seguida de una explicación indicando que la intención es utilizar el dinero recaudado para alimentos, medicamentos y refugio para los necesitados, que además viene acompañada de una disculpa anticipada. Sin embargo, no tenemos ninguna prueba de que esto sea cierto, y en caso contrario, recaudar dinero de esta forma es totalmente incorrecto desde el punto de vista moral y legal.
Algunos aspectos técnicos a tener en cuenta de Popcorn Time
Ficheros asociados:
restore_your_files.html
restore_your_files.txt
popcorn_time.exe
Entradas del registro asociados:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Popcorn_Time" [path_to]\popcorn_time.exe
Comunicaciones de redes asociadas:
https://3hnuhydu4pd247qb.onion
http://popcorn-time-free.net
Hash del instalador:
SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51
