Popcorn Time Ransomware devient-il miséricordieux ou nest-il quun canular ?

Bien qu'il y ait eu d'innombrables souches de Ransomware avec des attaques sans fin, les auteurs de Ransomware semblent avoir prévu d'effrayer les utilisateurs avec de nouvelles tactiques.

Nous avons déjà reçu des souches de Ransomware qui supprimeraient des fichiers si la rançon n'était pas payée dans le délai prescrit. De plus, il existe des variantes qui verrouillent les données de l'utilisateur en modifiant le nom du fichier, ce qui rend le décryptage encore plus difficile. Cependant, cette fois, les auteurs de Ransomware ont décidé d'assurer un flux facile de Popcorn Time Ransomware pour réduire leurs efforts. Ou devrions-nous dire, ils ont décidé d'être un peu miséricordieux envers les victimes.

Récemment, une autre souche de Ransomware appelée Popcorn Time a été découverte par MalwareHunterTeam. La variante a un moyen inhabituel d'extorquer de l'argent aux utilisateurs. Si une victime transmet avec succès la contrainte à deux autres utilisateurs, elle obtiendra une clé de déchiffrement gratuite. Peut-être que la victime devra payer s'il n'est pas en mesure de passer outre. Pour aggraver les choses, il y a un code inachevé dans le ransomware qui peut supprimer des fichiers si l'utilisateur entre 4 fois la mauvaise clé de décryptage.

Qu'est-ce qu'il y a de louche à propos de Popcorn Time Ransomware

La souche a un lien de parrainage qui est conservé pour la transmettre à d'autres utilisateurs. La victime d'origine obtient la clé de déchiffrement lorsque les deux autres ont payé une rançon. Mais s'ils ne le font pas, la victime principale doit effectuer le paiement. Bleeping Computer cite : « Pour faciliter cela, la note de rançon Popcorn Time contiendra une URL pointant vers un fichier situé sur le serveur TOR du ransomware. À l'heure actuelle, le serveur est en panne, on ne sait donc pas comment ce fichier apparaîtra ou sera déguisé afin d'inciter les gens à l'installer.

De plus, une autre fonctionnalité peut être ajoutée à la variante qui supprimerait les fichiers si l'utilisateur introduisait une clé de déchiffrement incorrecte 4 fois. Apparemment, le Ransomware est encore en phase de développement et on ne sait donc pas si cette tactique existe déjà ou s'il s'agit simplement d'un canular.

Voir aussi :  Year of Ransomware : un bref récapitulatif

Fonctionnement de Popcorn Time Ransomware

Une fois le Ransomware installé avec succès, il vérifie si le ransomware a déjà été exécuté via plusieurs fichiers tels que %AppData%\been_here et %AppData%\server_step_one . Si le système a déjà été infecté par le Ransomware, la souche se termine. Popcorn Time comprend cela si le système a un fichier 'been_here'. Si aucun fichier de ce type n'existe sur un ordinateur, le ransomware continue de propager la méchanceté. Il télécharge diverses images à utiliser comme arrière-plans ou à démarrer le processus de cryptage.

Étant donné que Popcorn Time en est encore à son stade de développement, il ne crypte qu'un dossier de test appelé Efiles . Ce dossier existe sur le bureau des utilisateurs et contient divers fichiers tels que .back, .backup, .ach, etc. (la liste complète des extensions de fichiers est donnée ci-dessous).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Par la suite, le ransomware recherche les fichiers qui correspondent à certaines extensions et commence à crypter les fichiers avec le cryptage AES-256. Une fois qu'un fichier est crypté avec Popcorn Time, il ajoute .filock comme extension. Par exemple, si un nom de fichier est « abc.docx », il sera alors remplacé par « abc.docx.filock ». Lorsque l'infection est entreprise avec succès, il convertit deux chaînes en base64 et les enregistre sous forme de notes de rançon appelées restore_your_files.html et restore_your_files.txt . Par la suite, le ransomware affiche une note de rançon HTML.

source de l'image : bleepingcomputer.com

Protection contre les ransomwares

Bien qu'aucun détecteur ou outil de suppression de ransomware n'ait été développé jusqu'à présent pour aider l'utilisateur après avoir été infecté par celui-ci, il est toutefois recommandé aux utilisateurs de prendre des mesures de précaution pour éviter les attaques de ransomware . Le plus important parmi tous est de faire une sauvegarde de vos données . Par la suite, vous pouvez également assurer une navigation sécurisée sur Internet, activer l'extension de blocage des publicités, conserver un outil anti-malware authentique et également mettre à jour en temps voulu les logiciels, outils, applications et programmes installés sur votre système. Apparemment, vous devez vous fier à des outils fiables pour la même chose. L'un de ces outils est Right Backup, une solution de stockage en nuage . Il vous aide à sauvegarder vos données sur la sécurité du cloud avec un cryptage AES 256 bits.