根據國外媒體的最新報道，來自 MalwareHunterTeam 的惡意軟件研究專家在暗網中發(fā)現了一種名為PopcornTime的新型勒索軟件。這款勒索軟件目前仍處于開發(fā)階段，而且研究人員還在 暗網 中發(fā)現了這款勒索軟件的源代碼。

[[178907]]

需要注意的是，這款勒索軟件有一個非常與眾不同的特性，它給受感染的用戶提供了兩種選擇： 支付贖金來解鎖數據，或者使用推薦鏈接感染再感染兩名其他的用戶。 這樣一來，當另外兩名潛在的感染用戶支付了數據贖金之后， 之前最初受感染的那位用戶就可以收到一個免費的解密密鑰，并使用這個密鑰來解鎖自己被勒索軟件加密的文件。

研究人員表示，PopcornTime勒索軟件使用的加密算法為AES-256，它可以加密的文件類型已經超過了五百種。用戶的文件在被加密之后，PopcornTime會在被加密文件的文件名結尾添加后綴名“.filock”或“.kok”。而且這款勒索軟件在這周剛剛得到更新，并增加了大量新的文件格式支持。

BleepingComputer.com的創(chuàng)始人Lawrence Abrams在接受采訪時 表示 ：

“PopcornTime給受感染用戶提供的這種選擇是非比尋常的，也是帶有犯罪性質的，有的用戶很可能會為了得到免費的解密密鑰而選擇將這款勒索軟件傳播出去。我在此之前從未見過這樣的勒索軟件， 也許這也是勒索軟件發(fā)展的新趨勢。

當PopcornTime在對數據進行加密的過程中，它會顯示一個偽造的頁面讓用戶以為計算機正在安裝某個應用程序。當PopcornTime成功感染了目標主機并完成了文件加密之后，它會對兩個base64字符串進行轉碼，然后將轉碼得到的信息(勒索信息)保存在restore_your_files.html和restore_your_files.txt這兩個文件中。接下來，這些勒索信息將會自動顯示在HTML頁面中。”

想要免費的解密密鑰嗎?再感染兩個用戶吧!

這款勒索軟件在成功感染用戶之后，會在用戶的計算機中留下以下信息：

“很遺憾，你的計算機以及其中的重要文件已經被我們加密了。不過別著急，你也不用擔心，因為你仍然可以通過某種方法恢復這些被加密的文件。 將下方給出的鏈接發(fā)送給其他人，如果兩位或兩位以上的用戶感染了PopcornTime的話，你就可以免費得到一個解密密鑰，你可以使用這個免費密鑰解鎖你的全部文件。 ”

我們可以從勒索信息中了解到，勒索軟件PopcornTime的開發(fā)者聲稱自己是一群來自敘利亞共和國的計算機專業(yè)的大學生。

Abrams在對這款勒索軟件的源代碼進行分析之后發(fā)現，該勒索軟件的源代碼是不完整的，其中的某些控制命令和遠程控制服務器無法正常工作，而且還有很多功能目前仍處于開發(fā)階段。

這款勒索軟件另外一個非常有趣的地方在于， 根據勒索信息中的描述，PopcornTime勒索軟件的收入將用于為敘利亞內戰(zhàn)的受害平民提供食物、醫(yī)療和臨時居所。

而且PopcornTime的開發(fā)者還表示：“您現在必須要做出選擇了，我們對此深感抱歉，因為這是我們生存下去的唯一方法了。要么支付贖金，要么感染其他的用戶。”

輸錯四次密碼，就GG了!

根據勒索軟件在受感染用戶的計算機中所留下的信息，PopcornTime的勒索金額為1比特幣(價值5390元人民幣)。這款軟件還限制用戶嘗試輸入解密密鑰的次數。

Abrams補充說到：

“更加恐怖的是，我們在對這份未開發(fā)完成的勒索軟件源代碼進行分析的過程中發(fā)現，如果用戶輸錯四次解密密鑰之后，用戶計算機中所有的文件都會立刻被刪除。”