Авторы вымогателя предлагают своим жертвам оригинальный способ возврата своих файлов. Для этого, в качестве альтернативы оплаты за ключи расшифровки, злоумышленники предлагают пользователям заразить двух своих знакомых.

Речь идет о шифровальщике под именем «Popcorn Time». После того, как процесс шифрования завершен, он уведомляет пользователя о том, что у того есть неделя для того, чтобы заплатить 770 $ за свои данные.

Группа MalwareHunter, обнаружившая эту угрозу утверждает, что вымогатель предоставляет пользователям шанс вернуть свои файлы и избежать оплаты, если они инфицируют двух других пользователей.

Подтверждение инфицирования происходит благодаря реферальной ссылке. Оба «друга» жертвы должны будут выплатить выкуп за пользователя, который их инфицировал, чтобы получить ключи дешифровки.

Файлы пользователей, которые вводят неверный ключ дешифровки более трех раз, удаляются. Авторы шифровальщика утверждают, что деньги пойдут на оплату еды и укрытия в Сирии. Эксперты, однако, утверждают, что этот вредонос еще не готов полностью.

«После завершения процесса шифрования вредонос конвертирует две строки base64, сохраняя их как записки с требованием выкупа под именами restore_your_files.html и restore_your_files.txt. А отображать он будет HTML-вариант записки» - утверждает эксперт Лоуренс Абрамс.

На данный момент альянс NoMoreRansom активно занимается попытками дешифровки файлов, пострадавших от этого вымогателя.