這款勒索軟件很有個性：要么付錢，要么幫忙再感染兩臺PC

根據國外媒體的最新報道，來自 MalwareHunterTeam 的惡意軟件研究專家在暗網中發現了一種名為 PopcornTime 的新型勒索軟件。這款勒索軟件目前仍處于開發階段，而且研究人員還在暗網中發現了這款勒索軟件的源代碼。

需要注意的是，這款勒索軟件有一個非常與眾不同的特性，它給受感染的用戶提供了兩種選擇：支付贖金來解鎖數據，或者使用推薦鏈接感染再感染兩名其他的用戶。這樣一來，當另外兩名潛在的感染用戶支付了數據贖金之后，之前最初受感染的那位用戶就可以收到一個免費的解密密鑰，并使用這個密鑰來解鎖自己被勒索軟件加密的文件。

研究人員表示，PopcornTime 勒索軟件使用的加密算法為 AES-256，它可以加密的文件類型已經超過了五百種。用戶的文件在被加密之后，PopcornTime 會在被加密文件的文件名結尾添加后綴名“.filock”或“.kok”。而且這款勒索軟件在這周剛剛得到更新，并增加了大量新的文件格式支持。

BleepingComputer.com 的創始人 Lawrence Abrams 在接受采訪時表示：

“PopcornTime 給受感染用戶提供的這種選擇是非比尋常的，也是帶有犯罪性質的，有的用戶很可能會為了得到免費的解密密鑰而選擇將這款勒索軟件傳播出去。我在此之前從未見過這樣的勒索軟件，也許這也是勒索軟件發展的新趨勢。

當 PopcornTime 在對數據進行加密的過程中，它會顯示一個偽造的頁面讓用戶以為計算機正在安裝某個應用程序。當 PopcornTime 成功感染了目標主機并完成了文件加密之后，它會對兩個 base64 字符串進行轉碼，然后將轉碼得到的信息（勒索信息）保存在 restore_your_files.html 和 restore_your_files.txt 這兩個文件中。接下來，這些勒索信息將會自動顯示在 HTML 頁面中。”

想要免費的解密密鑰嗎？再感染兩個用戶吧！

這款勒索軟件在成功感染用戶之后，會在用戶的計算機中留下以下信息：

“很遺憾，你的計算機以及其中的重要文件已經被我們加密了。不過別著急，你也不用擔心，因為你仍然可以通過某種方法恢復這些被加密的文件。將下方給出的鏈接發送給其他人，如果兩位或兩位以上的用戶感染了 PopcornTime 的話，你就可以免費得到一個解密密鑰，你可以使用這個免費密鑰解鎖你的全部文件。”

我們可以從勒索信息中了解到，勒索軟件 PopcornTime 的開發者聲稱自己是一群來自敘利亞共和國的計算機專業的大學生。

Abrams 在對這款勒索軟件的源代碼進行分析之后發現，該勒索軟件的源代碼是不完整的，其中的某些控制命令和遠程控制服務器無法正常工作，而且還有很多功能目前仍處于開發階段。

這款勒索軟件另外一個非常有趣的地方在于，根據勒索信息中的描述，PopcornTime 勒索軟件的收入將用于為敘利亞內戰的受害平民提供食物、醫療和臨時居所。

而且 PopcornTime 的開發者還表示：“您現在必須要做出選擇了，我們對此深感抱歉，因為這是我們生存下去的唯一方法了。要么支付贖金，要么感染其他的用戶。”

輸錯四次密碼，就 GG 了！

根據勒索軟件在受感染用戶的計算機中所留下的信息，PopcornTime 的勒索金額為 1 比特幣（價值 5390 元人民幣）。這款軟件還限制用戶嘗試輸入解密密鑰的次數。

Abrams 補充說到：

“更加恐怖的是，我們在對這份未開發完成的勒索軟件源代碼進行分析的過程中發現，如果用戶輸錯四次解密密鑰之后，用戶計算機中所有的文件都會立刻被刪除。”

由于在本文發稿時 PopcornTime 仍然處于開發階段，所以這款勒索軟件現在仍有很大的變數。雖然現如今的勒索軟件已經非常多樣，但正是由于這款勒索軟件在功能上的特殊性，所以才格外受到關注，大概也能作為其他勒索軟件的參照對象。或許隨著時間的推移，PopcornTime 還會添加更多令人“瞠目結舌”的功能。 

來自: www.freebuf.com