Wird Popcorn Time Ransomware gnädig oder ist es nur ein Scherz?

Obwohl es unzählige Ransomware- Stämme mit endlosen Angriffen gegeben hat, scheinen die Ransomware-Autoren geplant zu haben, Benutzer mit neueren Taktiken zu erschrecken.

Wir haben bereits Ransomware-Stämme erhalten, die Dateien löschen würden, wenn das Lösegeld nicht innerhalb der vorgeschriebenen Frist bezahlt wird. Darüber hinaus gibt es Varianten, die Benutzerdaten durch Ändern des Dateinamens sperren, wodurch die Entschlüsselung noch schwieriger wird. Diesmal entschieden sich die Ransomware-Autoren jedoch dafür, einen einfachen Fluss der Popcorn Time Ransomware zu gewährleisten, um ihren Aufwand zu reduzieren. Oder wir sollten sagen, sie haben beschlossen, den Opfern gegenüber ein wenig barmherzig zu sein.

Kürzlich wurde ein weiterer Ransomware-Stamm namens Popcorn Time von MalwareHunterTeam entdeckt. Die Variante hat eine ungewöhnliche Möglichkeit, von Benutzern Geld zu erpressen. Wenn ein Opfer die Belastung erfolgreich an zwei andere Benutzer weitergibt, erhält es einen kostenlosen Entschlüsselungsschlüssel. Vielleicht muss das Opfer zahlen, wenn es nicht in der Lage ist, es weiterzugeben. Um es noch schlimmer zu machen, gibt es einen unvollendeten Code in der Ransomware, der Dateien löscht, wenn der Benutzer viermal den falschen Entschlüsselungsschlüssel eingibt.

Was ist an Popcorn Time Ransomware faul?

Der Stamm hat einen Empfehlungslink, der aufbewahrt wird, um ihn an andere Benutzer weiterzugeben. Das ursprüngliche Opfer erhält den Entschlüsselungsschlüssel, wenn die beiden weiteren Lösegeld bezahlt haben. Aber wenn sie dies nicht tun, muss das Hauptopfer die Zahlung leisten. Bleeping Computer zitiert: „Um dies zu erleichtern, enthält der Lösegeldschein von Popcorn Time eine URL, die auf eine Datei verweist, die sich auf dem TOR-Server der Ransomware befindet. Zu diesem Zeitpunkt ist der Server ausgefallen, daher ist nicht sicher, wie diese Datei angezeigt oder getarnt wird, um Leute dazu zu bringen, sie zu installieren.“

Darüber hinaus kann der Variante eine weitere Funktion hinzugefügt werden, die Dateien löscht, wenn der Benutzer viermal einen falschen Entschlüsselungsschlüssel eingibt. Anscheinend befindet sich die Ransomware noch in der Entwicklungsphase und daher ist nicht bekannt, ob diese Taktik bereits vorhanden ist oder nur ein Scherz ist.

Siehe auch:  Jahr der Ransomware: Eine kurze Zusammenfassung

Funktionsweise von Popcorn Time Ransomware

Nach erfolgreicher Installation der Ransomware wird überprüft, ob die Ransomware bereits über mehrere Dateien wie %AppData%\been_here und %AppData%\server_step_one ausgeführt wurde . Wenn das System bereits mit der Ransomware infiziert wurde, beendet sich der Stamm von selbst. Popcorn Time versteht dies, wenn das System die Datei 'been_here' hat. Wenn keine solche Datei auf einem Computer beendet wird, verbreitet die Ransomware die Bösartigkeit weiter. Es lädt verschiedene Bilder herunter, um sie als Hintergrund zu verwenden oder den Verschlüsselungsprozess zu starten.

Da sich Popcorn Time noch in der Entwicklungsphase befindet, verschlüsselt es lediglich einen Testordner namens Efiles . Dieser Ordner existiert auf dem Desktop der Benutzer und enthält verschiedene Dateien wie .back, .backup, .ach usw. (die vollständige Liste der Dateierweiterungen ist unten aufgeführt).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Danach sucht die Ransomware nach Dateien, die den bestimmten Erweiterungen entsprechen, und beginnt mit der Verschlüsselung von Dateien mit AES-256-Verschlüsselung. Sobald eine Datei mit Popcorn Time verschlüsselt ist, hängt sie .filock als Erweiterung an. Wenn ein Dateiname beispielsweise 'abc.docx' lautet, wird er in 'abc.docx.filock' geändert. Wenn die Infektion erfolgreich durchgeführt wurde, konvertiert es zwei base64-Strings und speichert sie als Lösegeldnotizen namens restore_your_files.html und restore_your_files.txt . Danach zeigt die Ransomware einen HTML-Lösegeldbrief.

Bildquelle: bleepingcomputer.com

Schutz vor Ransomware

Obwohl bisher kein Detektor oder Ransomware-Entferner entwickelt wurde, der Benutzern helfen kann, nachdem sie damit infiziert wurden, wird Benutzern jedoch empfohlen, Vorsichtsmaßnahmen zu treffen, um Ransomware-Angriffe zu vermeiden . An erster Stelle steht die Sicherung Ihrer Daten . Anschließend können Sie auch für ein sicheres Surfen im Internet sorgen, die Erweiterung des Werbeblocks aktivieren, ein authentisches Anti-Malware-Tool behalten und auch Software, Tools, Apps und Programme, die auf Ihrem System installiert sind, rechtzeitig aktualisieren. Anscheinend müssen Sie sich dafür auf zuverlässige Tools verlassen. Ein solches Tool ist Right Backup, eine Cloud-Speicherlösung . Es hilft Ihnen, Ihre Daten auf Cloud-Sicherheit mit 256-Bit-AES-Verschlüsselung zu speichern .