هل Popcorn Time Ransomware يصبح رحيمًا أم مجرد خدعة؟

على الرغم من وجود عدد لا يحصى من سلالات Ransomware بهجمات لا نهاية لها ، يبدو أن مؤلفي Ransomware قد خططوا لتخويف المستخدمين بأساليب جديدة.

لقد تلقينا بالفعل سلالات Ransomware التي من شأنها حذف الملفات إذا لم يتم دفع فدية في المهلة المحددة. علاوة على ذلك ، هناك متغيرات تقوم بتأمين بيانات المستخدم عن طريق تغيير اسم الملف ، مما يجعل فك التشفير أكثر صعوبة. لكن هذه المرة ، قرر مؤلفو Ransomware ضمان التدفق السهل لبرنامج Popcorn Time Ransomware لتقليل جهودهم. أو يجب أن نقول ، لقد قرروا أن يكونوا رحماء بعض الشيء تجاه الضحايا.

في الآونة الأخيرة ، تم اكتشاف سلالة أخرى من برامج الفدية تسمى Popcorn Time بواسطة MalwareHunterTeam. البديل لديه طريقة غير معتادة لابتزاز الأموال من المستخدمين. إذا نجحت الضحية في تجاوز الضغط إلى مستخدمين آخرين ، فسيحصل على مفتاح فك تشفير مجاني. ربما يتعين على الضحية الدفع إذا لم يتمكن من تجاوزها. لجعل الأمر أسوأ ، هناك رمز غير مكتمل في برنامج الفدية والذي قد يحذف الملفات إذا قام المستخدم بإدخال مفتاح فك تشفير خاطئ 4 مرات.

ما هو مريب في Popcorn Time Ransomware

السلالة لها رابط إحالة يتم الاحتفاظ به لنقلها إلى مستخدمين آخرين. الضحية الأصلية تحصل على مفتاح فك التشفير عندما يدفع الاثنان الآخران فدية. ولكن ، إذا لم يفعلوا ذلك ، فيجب على الضحية الأساسية سداد المبلغ. يقتبس Bleeping Computer ، "لتسهيل ذلك ، ستحتوي مذكرة فدية Popcorn Time على عنوان URL يشير إلى ملف موجود على خادم TOR الخاص ببرنامج الفدية. في هذا الوقت الخادم معطل ، لذلك من غير المؤكد كيف سيظهر هذا الملف أو سيتم إخفاءه لخداع الأشخاص لتثبيته ".

علاوة على ذلك ، يمكن إضافة ميزة أخرى إلى المتغير من شأنها حذف الملفات إذا حدث للمستخدم وضع مفتاح فك تشفير غير صحيح 4 مرات. على ما يبدو ، لا يزال برنامج Ransomware في مرحلة التطوير ولذا فمن غير المعروف ما إذا كان هذا التكتيك موجودًا بالفعل أم أنه مجرد خدعة.

راجع أيضًا:  عام برامج الفدية: ملخص موجز

طريقة عمل Popcorn Time Ransomware

بمجرد تثبيت Ransomware بنجاح ، فإنه يتحقق مما إذا كان قد تم تشغيل برنامج الفدية بالفعل عبر عدة ملفات مثل ٪ AppData٪ \ been_here و ٪ AppData٪ \ server_step_one . إذا كان النظام مصابًا بالفعل ببرنامج Ransomware ، فإن السلالة تنتهي من تلقاء نفسها. يتفهم Popcorn Time هذا إذا كان النظام يحتوي على ملف 'been_here'. إذا لم يخرج أي ملف من هذا القبيل في جهاز الكمبيوتر ، فإن برنامج الفدية ينشر الشر. يقوم بتنزيل صور متنوعة لاستخدامها كخلفيات أو لبدء عملية التشفير.

نظرًا لأن Popcorn Time لا يزال في مرحلة التطوير ، فإنه يقوم فقط بتشفير مجلد اختبار يسمى Efiles . يوجد هذا المجلد على سطح مكتب المستخدمين ويحتوي على ملفات مختلفة مثل .back و .backup و .ach وما إلى ذلك (القائمة الكاملة لامتدادات الملفات مذكورة أدناه).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

بعد ذلك ، يبحث برنامج الفدية عن الملفات التي تطابق امتدادات معينة ويبدأ في تشفير الملفات باستخدام تشفير AES-256. بمجرد تشفير الملف باستخدام Popcorn Time ، فإنه يلحق .filock كملحق له. على سبيل المثال ، إذا كان اسم الملف هو "abc.docx" ، فسيتم تغييره إلى "abc.docx.filock". عندما يتم القيام العدوى بنجاح، فإنه يحول اثنين base64 في سلاسل وحفظها والملاحظات فدية دعا restore_your_files.html و restore_your_files.txt . بعد ذلك ، يعرض برنامج الفدية مذكرة فدية HTML.

مصدر الصورة: bleepingcomputer.com

الحماية ضد برامج الفدية

على الرغم من عدم تطوير أي كاشف أو مزيل لبرامج الفدية حتى الآن يمكن أن يساعد المستخدم بعد إصابته به ، ومع ذلك ، يُنصح المستخدمين باتخاذ تدابير وقائية لتجنب هجوم رانسوم وير . قبل كل شيء هو عمل نسخة احتياطية من البيانات الخاصة بك . بعد ذلك ، يمكنك أيضًا ضمان تصفح آمن على الإنترنت ، وتمكين امتداد حظر الإعلانات ، والحفاظ على أداة أصلية لمكافحة البرامج الضارة وأيضًا تحديث البرامج والأدوات والتطبيقات والبرامج المثبتة في نظامك في الوقت المناسب. على ما يبدو ، تحتاج إلى الاعتماد على أدوات موثوقة لنفسه. إحدى هذه الأدوات هي Right Backup وهو حل تخزين سحابي . يساعدك على حفظ بياناتك على الأمن السحابي مع تشفير 256 بت AES.