Popcorn ransomware

Nonostante il nome fuorviante, che rimanda alle serate al cinema in compagnia di amici, ransomware Popcorn è un cryptovirus che utilizza la tecnica più meschina per convincere le vittime a pagare il riscatto. Ovvero, la minaccia ransomware non riguardava solamente lo sfortunato utente vittima ma anche i suoi contatti.

Così come in una allegra serata film i popcorn si condividono tra gli amici così l’idea degli sviluppatori del malware era quella di infettare moltissimi dispositivi passando di conoscente in conoscente.

Andiamo a scoprire tutte le informazioni note su ransomware popcorn diffuso a fine del 2016 ma che ormai non rappresenta più una minaccia concreta per i moderni (e sicuri) sistemi informatici.

• Ransomware popcorn attack, di che cosa si tratta
• Attacco ransomware popcorn, come funziona
• Campagna di marketing ransomware popcorn
• Potenziali obiettivi di ransomware popcorn
• Come è stato sconfitto ransomware popcorn
• Conclusioni

Chiamato anche Popcorn Time virus oggi parleremo di un malware scoperto dagli esperti della comunità cybersec negli ultimi mesi del 2016. In particolare, fu il team di Malware Hunter e rilevare la minaccia per la prima volta quando ancora pare fosse in fase di sviluppo.

In quel preciso momento, il ransomware popcorn poteva prendere di mira solo cartelle Desktop contenenti documenti, immagini e musica: nessuna cybergang aveva impiegato realmente la minaccia.

Popcorn ransomware era diverso da tutte le altre tipologie di cryptovirus in circolazione per una specifica caratteristica.
Infatti, la minaccia ransomware non si limitava ad inabilitare l’accesso ad alcuni file (o ad interi dispositivi) richiedendo un riscatto in cambio di una chiave di decrittazione.

La novità di ransomware popcorn era di porre la vittima difronte ad una scelta eticamente complessa:

pagare il riscatto ransomware o infettare qualcun altro.

Ciò che abbiamo potuto osservare in seguito allo studio del codice ransomware è quanto segue.
Ransomware popcorn poteva essere scaricato direttamente sul dispositivo tramite:

• allegato mail dannoso
• navigazione su sito compromesso
• download file su Internet che conteneva il file di download del ransomware,
• clic su link malevolo.

Tuttavia, popcorn ransomware si propagava prettamente attraverso il download da siti web fraudolenti tramite condivisione peer to peer di materiale multimediale: Popcorn Time, da cui evidentemente prende il nome.

Installazione del malware

Durante la fase di installazione appariva una schermata che segnalava lo stato di avanzamento del processo, ovviamente si trattava solo di un diversivo che permettesse al malware di non essere riconosciuto dall’utente dandogli il tempo di agire indisturbato.

Attivazione e crittografia

Il secondo passaggio consisteva nell’attivazione del programma e che modificava il nome e l’estensione di tutti i file, l’estensione originale veniva cambiata in “.filock” o “.kok”. Questo vuol dire che tutte le informazioni contenute nel file specifico erano state criptate con crittografia AES-256, ovvero uno tra i metodi più robusti in circolazione.

Messaggio di ricatto

A questo punto appariva un file denominato “restore_your_files.html “ che vi informava la vittima di essere sotto attacco ransomware e che poneva due alternative.
La prima, anche detta “Fast and Easy” invitava a pagare il riscatto in BitCoin entro sette giorni per ottenere una chiave di decriptazione, la seconda, detta invece “Nasty” vi proponeva di infettare altre due persone con ransomware popcorn per ottenere il ripristino dei file senza che fosse necessario sborsare nessuna cifra.

Pagare o farsi complice

Se l’utente avesse scelto la seconda opzione avrebbe ricevuto un referral link, che puntava ad un file sulla rete Tor, da inviare a quanti più contatti possibili. Se almeno due di loro fossero rimasti infettati e avessero deciso di pagare il riscatto, il blocco sarebbe stato rimosso senza la necessità di sborsare nulla.

Questo sistema ricorda moltissimo alcune vecchie promozioni telefoniche o altri sistemi di marketing abitualmente impiegati da aziende legittime.
Convinci un amico ad usufruire dello stesso servizio per ottenerlo gratuitamente.

Un altro elemento che può essere definito “marketing di popcorn ransomware” è la dichiarazione degli aggressori nel file .html contenente il ricatto.
Questi infatti dichiarano di essere studenti di informatica siriani che cercano dei fondi per fornire assistenza e beni di prima necessità alle vittime della guerra in Siria.

In questo modo cercano di giustificare il loro crimine informatico e l’istigazione alla criminalità che portano avanti.

In questo caso, le potenziali vittime di ransomware popcorn non erano aziende o enti pubblici bensì i privati cittadini.

Questo si può dedurre innanzitutto dal canale di infezione privilegiato.
Un finto Popcorn Time, ovvero un software decisamente poco appropriato per un computer aziendale, oltreché vietato dalle policy di sicurezza spesso. Inoltre, normalmente un PC di un utente privato contenga informazioni personali come ad esempio foto, video di famiglia a cui l’utente è affezionato: questo presupposto potrebbe spingerlo a pagare o a passare l’infezione ad un altro contatto pur di liberarsene.

A tal proposito, il malcapitato avrebbe avuto un’intera settimana per scovare dei contatti di sconosciuti e non esporre i suoi amici a dei rischi.
Al contrario nessun aziende potrebbe accettare di figurare come untrice di potenziali clienti.

La buona notizia è che questo malware non rappresenta più una minaccia, infatti è stato scoperto il modo di decifrare tutti i file criptati da ransomware popcorn senza necessità di pagare il riscatto.
I passaggi da seguire sono semplici:

• Segnalare l’infezione alle autorità competenti

  in questo modo si contribuisce a combattere la criminalità e a far si che chi di competenza abbia un quadro completo della diffusione della minaccia. Inoltre sarà possibile perseguire gli aggressori, qualora si riuscisse risalire a loro tramite le indagini.

• Isolare il dispositivo infetto

  I ransomware sono spesso progettati per diffondersi lateralmente in rete, questo in particolare no.
  Infatti, gli aggressori puntano tutto sul fatto che sarà la vittima stessa a far circolare il link infetto.
  Ad ogni modo, per precauzione è opportuno disconnettersi da Internet e scollegare tutti i dispositivi connessi, pennette, stampanti ecc… e se si desidera essere davvero scrupolosi, disconnettersi anche dagli account di archiviazione cloud. Dopotutto, non sempre è lampante quale versione di ransomware abbia attaccato il dispositivo.

• Procedere all’identificazione del ceppo specifico.

  Il popcorn time virus può essere individuato da alcune caratteristiche: le tipiche estensioni .kok o .filock, la denominazione del file contenente il messaggio di riscatto. In questo caso specifico l’identificazione può essere molto più semplice. Questo infatti è l’unico caso di ransomware che incita a trasmettere l’infezione per ottenere un ripristino gratuito. Se il messaggio vi propone questa alternativa, non avete bisogno di ulteriori informazioni: si tratta si un popcorn ransomware.

• Ricercare gli strumenti di decriptazione.

  Il popcorn time è uno dei casi in cui esiste la possibilità di aggirare gli sviluppatori e recuperare i dati.
  E’ sufficiente fare una ricerca su internet e trovare un decriptor gratis (ipotesi rischiosa) oppure rivolgersi a degli esperti e seguire le loro istruzioni. Inoltre, è possibile che il vostro antivirus lo individui e sia in grado di metterlo fuori uso come un qualsiasi altro virus.

• Ripristinare i file

• Creare un backup dei dati in modo da non rischiare la perdita dei dati qualora si rimanesse di nuovo vittima di un ransomware

L’ingegno delle cybergang dietro lo sviluppo di un attacco  ransomware è spesso molto complesso.
Tuttavia, anche l’impegno e la tecnologia in possesso degli specialisti della sicurezza informatica riesce a contrastare le minacce informatiche.

In questo particolare caso ci troviamo di fronte a un’azione doppiamente illegale, l’estorsione e l’istigazione a delinquere.
Fortunatamente, la minaccia ransomware è stata neutralizzata ma non è scontato che resti silente in futuro.