Nonostante ci siano stati innumerevoli ceppi di ransomware con attacchi infiniti, gli autori di ransomware sembrano aver pianificato di spaventare gli utenti con nuove tattiche.
Abbiamo già ricevuto ceppi di ransomware che cancellerebbero i file se il riscatto non viene pagato entro il limite di tempo prescritto. Inoltre, esistono varianti che bloccano i dati dell'utente modificando il nome del file, rendendo la decrittazione ancora più difficile. Tuttavia, questa volta, gli autori di Ransomware hanno deciso di garantire un facile flusso di Popcorn Time Ransomware per ridurre il loro sforzo. O dovremmo dire che hanno deciso di essere un po' misericordiosi con le vittime.
Di recente, MalwareHunterTeam ha scoperto un altro ceppo di Ransomware chiamato Popcorn Time. La variante ha un modo insolito per estorcere denaro agli utenti. Se una vittima passa con successo il ceppo ad altri due utenti, otterrà una chiave di decrittazione gratuita. Forse, la vittima dovrà pagare se non è in grado di passarlo. A peggiorare le cose, c'è un codice incompleto nel ransomware che potrebbe eliminare i file se l'utente immette 4 volte una chiave di decrittazione errata.
Cosa c'è di sospetto nel ransomware Popcorn Time
Il ceppo ha un link di riferimento che viene mantenuto per trasmetterlo ad altri utenti. La vittima originale ottiene la chiave di decrittazione quando gli altri due hanno pagato il riscatto. Ma se non lo fanno, la vittima principale deve effettuare il pagamento. Bleeping Computer cita: “Per facilitare questo, la richiesta di riscatto di Popcorn Time conterrà un URL che punta a un file che si trova sul server TOR del ransomware. In questo momento il server è inattivo, quindi non è sicuro di come questo file apparirà o sarà camuffato per indurre le persone a installarlo.
Inoltre, è possibile aggiungere un'altra funzionalità alla variante che cancellerebbe i file se l'utente inserisce una chiave di decrittazione errata 4 volte. Apparentemente, il Ransomware è ancora in fase di sviluppo e quindi non è noto se questa tattica esiste già al suo interno o è solo una bufala.
Vedi anche: Anno del ransomware: un breve riepilogo
Il funzionamento di Popcorn Time Ransomware
Una volta installato con successo il ransomware, controlla se il ransomware è già stato eseguito tramite diversi file come %AppData%\been_here e %AppData%\server_step_one . Se il sistema è già stato infettato dal Ransomware, il ceppo si interrompe da solo. Popcorn Time lo capisce se il sistema ha il file 'been_here'. Se nessun file di questo tipo esce in un computer, il ransomware continua a diffondere la cattiveria. Scarica varie immagini da utilizzare come sfondi o avvia il processo di crittografia.
Poiché Popcorn Time è ancora in fase di sviluppo, crittografa solo una cartella di prova chiamata Efiles . Questa cartella esiste sul desktop degli utenti e contiene vari file come .back, .backup, .ach, ecc. (l'elenco completo delle estensioni dei file è riportato di seguito).
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp
Successivamente, il ransomware cerca i file che corrispondono a determinate estensioni e inizia a crittografare i file con la crittografia AES-256. Una volta che un file è crittografato con Popcorn Time, aggiunge .filock come estensione. Ad esempio, se il nome di un file è "abc.docx", verrà modificato in "abc.docx.filock". Quando l'infezione viene eseguita correttamente, converte due stringhe base64 e le salva come note di riscatto chiamate restore_your_files.html e restore_your_files.txt . Successivamente, il ransomware mostra una nota di riscatto HTML.
fonte immagine: bleepingcomputer.com
Protezione contro il ransomware
Sebbene finora non sia stato sviluppato alcun rilevatore o dispositivo di rimozione ransomware che possa aiutare l'utente dopo essere stato infettato, tuttavia, si consiglia agli utenti di adottare misure precauzionali per evitare attacchi ransomware . Il più importante tra tutti è quello di eseguire il backup dei dati . Successivamente, puoi anche garantire una navigazione sicura su Internet, abilitare l'estensione del blocco degli annunci, mantenere un autentico strumento anti-malware e anche aggiornare tempestivamente software, strumenti, app e programmi installati sul tuo sistema. Apparentemente, devi fare affidamento su strumenti affidabili per lo stesso. Uno di questi strumenti è Right Backup, una soluzione di archiviazione cloud . Ti aiuta a salvare i tuoi dati sulla sicurezza del cloud con la crittografia AES a 256 bit.
Chrome, per impostazione predefinita, non mostra l'URL completo. Potresti non preoccuparti troppo di questo dettaglio, ma se per qualche motivo hai bisogno che venga visualizzato l'URL completo, istruzioni dettagliate su come fare in modo che Google Chrome visualizzi l'URL completo nella barra degli indirizzi.
Reddit ha cambiato nuovamente il design nel gennaio 2024. La riprogettazione può essere vista dagli utenti del browser desktop e restringe il feed principale fornendo collegamenti
Digitare la tua citazione preferita dal tuo libro su Facebook richiede tempo ed è pieno di errori. Scopri come utilizzare Google Lens per copiare testo dai libri sui tuoi dispositivi.
A volte, quando lavori su Chrome, non puoi accedere a determinati siti Web e viene visualizzato un errore "Impossibile trovare l'indirizzo DNS del server di correzione in Chrome". Ecco come puoi risolvere il problema.
I promemoria sono sempre stati il punto forte di Google Home. Sicuramente ci semplificano la vita. Facciamo un breve tour su come creare promemoria su Google Home per non perdere mai di occuparti di commissioni importanti.
Come cambiare la password sul servizio di video in streaming Netflix utilizzando il browser preferito o l'app Android.
Se vuoi eliminare il messaggio Ripristina pagine su Microsoft Edge, chiudi semplicemente il browser o premi il tasto Esc.
Cerchi un'alternativa affidabile a Google Voice per le telefonate? Scopri le migliori alternative di chiamata VoIP a Google Voice.
Un cappello nero è un hacker che vittimizza le persone e infrange la legge. Continua a leggere per saperne di più sull'argomento.
Non sei sicuro di cosa sia un criminale informatico? Un criminale informatico è un criminale che commette reati principalmente utilizzando sistemi informatici.
