Wird Popcorn Time Ransomware gnädig oder ist es nur ein Scherz?

Obwohl es unzählige Ransomware- Stämme mit endlosen Angriffen gegeben hat, scheinen die Ransomware-Autoren geplant zu haben, Benutzer mit neueren Taktiken zu erschrecken.

Wir haben bereits Ransomware-Stämme erhalten, die Dateien löschen würden, wenn das Lösegeld nicht innerhalb der vorgeschriebenen Frist bezahlt wird. Darüber hinaus gibt es Varianten, die Benutzerdaten durch Ändern des Dateinamens sperren, wodurch die Entschlüsselung noch schwieriger wird. Diesmal entschieden sich die Ransomware-Autoren jedoch dafür, einen einfachen Fluss der Popcorn Time Ransomware zu gewährleisten, um ihren Aufwand zu reduzieren. Oder wir sollten sagen, sie haben beschlossen, den Opfern gegenüber ein wenig barmherzig zu sein.

Kürzlich wurde ein weiterer Ransomware-Stamm namens Popcorn Time von MalwareHunterTeam entdeckt. Die Variante hat eine ungewöhnliche Möglichkeit, von Benutzern Geld zu erpressen. Wenn ein Opfer die Belastung erfolgreich an zwei andere Benutzer weitergibt, erhält es einen kostenlosen Entschlüsselungsschlüssel. Vielleicht muss das Opfer zahlen, wenn es nicht in der Lage ist, es weiterzugeben. Um es noch schlimmer zu machen, gibt es einen unvollendeten Code in der Ransomware, der Dateien löscht, wenn der Benutzer viermal den falschen Entschlüsselungsschlüssel eingibt.

Was ist an Popcorn Time Ransomware faul?

Der Stamm hat einen Empfehlungslink, der aufbewahrt wird, um ihn an andere Benutzer weiterzugeben. Das ursprüngliche Opfer erhält den Entschlüsselungsschlüssel, wenn die beiden weiteren Lösegeld bezahlt haben. Aber wenn sie dies nicht tun, muss das Hauptopfer die Zahlung leisten. Bleeping Computer zitiert: „Um dies zu erleichtern, enthält der Lösegeldschein von Popcorn Time eine URL, die auf eine Datei verweist, die sich auf dem TOR-Server der Ransomware befindet. Zu diesem Zeitpunkt ist der Server ausgefallen, daher ist nicht sicher, wie diese Datei angezeigt oder getarnt wird, um Leute dazu zu bringen, sie zu installieren.“

Wird Popcorn Time Ransomware gnädig oder ist es nur ein Scherz?

Darüber hinaus kann der Variante eine weitere Funktion hinzugefügt werden, die Dateien löscht, wenn der Benutzer viermal einen falschen Entschlüsselungsschlüssel eingibt. Anscheinend befindet sich die Ransomware noch in der Entwicklungsphase und daher ist nicht bekannt, ob diese Taktik bereits vorhanden ist oder nur ein Scherz ist.

Siehe auch:  Jahr der Ransomware: Eine kurze Zusammenfassung

Funktionsweise von Popcorn Time Ransomware

Nach erfolgreicher Installation der Ransomware wird überprüft, ob die Ransomware bereits über mehrere Dateien wie %AppData%\been_here und %AppData%\server_step_one ausgeführt wurde . Wenn das System bereits mit der Ransomware infiziert wurde, beendet sich der Stamm von selbst. Popcorn Time versteht dies, wenn das System die Datei 'been_here' hat. Wenn keine solche Datei auf einem Computer beendet wird, verbreitet die Ransomware die Bösartigkeit weiter. Es lädt verschiedene Bilder herunter, um sie als Hintergrund zu verwenden oder den Verschlüsselungsprozess zu starten.

Da sich Popcorn Time noch in der Entwicklungsphase befindet, verschlüsselt es lediglich einen Testordner namens Efiles . Dieser Ordner existiert auf dem Desktop der Benutzer und enthält verschiedene Dateien wie .back, .backup, .ach usw. (die vollständige Liste der Dateierweiterungen ist unten aufgeführt).


.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Danach sucht die Ransomware nach Dateien, die den bestimmten Erweiterungen entsprechen, und beginnt mit der Verschlüsselung von Dateien mit AES-256-Verschlüsselung. Sobald eine Datei mit Popcorn Time verschlüsselt ist, hängt sie .filock als Erweiterung an. Wenn ein Dateiname beispielsweise 'abc.docx' lautet, wird er in 'abc.docx.filock' geändert. Wenn die Infektion erfolgreich durchgeführt wurde, konvertiert es zwei base64-Strings und speichert sie als Lösegeldnotizen namens restore_your_files.html und restore_your_files.txt . Danach zeigt die Ransomware einen HTML-Lösegeldbrief.

Wird Popcorn Time Ransomware gnädig oder ist es nur ein Scherz?

Bildquelle: bleepingcomputer.com

Schutz vor Ransomware

Obwohl bisher kein Detektor oder Ransomware-Entferner entwickelt wurde, der Benutzern helfen kann, nachdem sie damit infiziert wurden, wird Benutzern jedoch empfohlen, Vorsichtsmaßnahmen zu treffen, um Ransomware-Angriffe zu vermeiden . An erster Stelle steht die Sicherung Ihrer Daten . Anschließend können Sie auch für ein sicheres Surfen im Internet sorgen, die Erweiterung des Werbeblocks aktivieren, ein authentisches Anti-Malware-Tool behalten und auch Software, Tools, Apps und Programme, die auf Ihrem System installiert sind, rechtzeitig aktualisieren. Anscheinend müssen Sie sich dafür auf zuverlässige Tools verlassen. Ein solches Tool ist Right Backup, eine Cloud-Speicherlösung . Es hilft Ihnen, Ihre Daten auf Cloud-Sicherheit mit 256-Bit-AES-Verschlüsselung zu speichern .



Leave a Comment

Beheben: Nicht angeheftete Apps erscheinen immer wieder in Windows 11

Beheben: Nicht angeheftete Apps erscheinen immer wieder in Windows 11

Wenn nicht angeheftete Apps und Programme immer wieder in der Taskleiste erscheinen, können Sie die Layout-XML-Datei bearbeiten und die benutzerdefinierten Zeilen entfernen.

So entfernen Sie gespeicherte Informationen aus Firefox Autofill

So entfernen Sie gespeicherte Informationen aus Firefox Autofill

Entfernen Sie gespeicherte Informationen aus Firefox Autofill, indem Sie diese schnellen und einfachen Schritte für Windows- und Android-Geräte befolgen.

Wie man iPod Shuffle weich und hart zurücksetzt

Wie man iPod Shuffle weich und hart zurücksetzt

In diesem Tutorial zeigen wir Ihnen, wie Sie einen weichen oder harten Reset auf dem Apple iPod Shuffle durchführen können.

So verwalten Sie Ihre Google Play-Abonnements auf Android

So verwalten Sie Ihre Google Play-Abonnements auf Android

Es gibt so viele großartige Apps im Google Play, dass man einfach abonnieren muss. Nach einer Weile wird diese Liste länger und Sie müssen Ihre Google Play-Abonnements verwalten.

Wie man Samsung Pay mit dem Galaxy Z Fold 5 verwendet

Wie man Samsung Pay mit dem Galaxy Z Fold 5 verwendet

Das Suchen nach der richtigen Karte in Ihrer Tasche oder Geldbörse kann lästig sein. In den letzten Jahren haben verschiedene Unternehmen kontaktlose Zahlungsoptionen entwickelt und eingeführt.

So löschen Sie den Downloadverlauf von Android

So löschen Sie den Downloadverlauf von Android

Wenn Sie den Downloadverlauf von Android löschen, helfen Sie dabei, mehr Speicherplatz zu schaffen, unter anderem. Hier sind die Schritte, die Sie befolgen sollten.

So setzen Sie das Galaxy Tab S9 zurück

So setzen Sie das Galaxy Tab S9 zurück

Wir haben etwas Zeit mit dem Galaxy Tab S9 Ultra verbracht, und es ist das perfekte Tablet, um es mit Ihrem Windows-PC oder dem Galaxy S23 zu kombinieren.

Wie man Gruppennachrichten in Android 11 stummschaltet

Wie man Gruppennachrichten in Android 11 stummschaltet

Stummschalten von Gruppennachrichten in Android 11, um die Benachrichtigungen für die Nachrichten-App, WhatsApp und Telegram unter Kontrolle zu halten.

Firefox: URL-Verlauf der Adressleiste löschen

Firefox: URL-Verlauf der Adressleiste löschen

Löschen Sie den URL-Verlauf der Adressleiste in Firefox und behalten Sie Ihre Sitzungen privat, indem Sie diese schnellen und einfachen Schritte befolgen.

Wie man Betrüger auf Facebook erkennt und meldet

Wie man Betrüger auf Facebook erkennt und meldet

Um einen Betrüger auf Facebook zu melden, klicken Sie auf Weitere Optionen und wählen Sie Hilfe suchen oder Profil melden. Füllen Sie dann das Meldeformular aus.