Il ransomware Popcorn Time sta diventando misericordioso o è solo una bufala?

Nonostante ci siano stati innumerevoli ceppi di ransomware con attacchi infiniti, gli autori di ransomware sembrano aver pianificato di spaventare gli utenti con nuove tattiche.

Abbiamo già ricevuto ceppi di ransomware che cancellerebbero i file se il riscatto non viene pagato entro il limite di tempo prescritto. Inoltre, esistono varianti che bloccano i dati dell'utente modificando il nome del file, rendendo la decrittazione ancora più difficile. Tuttavia, questa volta, gli autori di Ransomware hanno deciso di garantire un facile flusso di Popcorn Time Ransomware per ridurre il loro sforzo. O dovremmo dire che hanno deciso di essere un po' misericordiosi con le vittime.

Di recente, MalwareHunterTeam ha scoperto un altro ceppo di Ransomware chiamato Popcorn Time. La variante ha un modo insolito per estorcere denaro agli utenti. Se una vittima passa con successo il ceppo ad altri due utenti, otterrà una chiave di decrittazione gratuita. Forse, la vittima dovrà pagare se non è in grado di passarlo. A peggiorare le cose, c'è un codice incompleto nel ransomware che potrebbe eliminare i file se l'utente immette 4 volte una chiave di decrittazione errata.

Cosa c'è di sospetto nel ransomware Popcorn Time

Il ceppo ha un link di riferimento che viene mantenuto per trasmetterlo ad altri utenti. La vittima originale ottiene la chiave di decrittazione quando gli altri due hanno pagato il riscatto. Ma se non lo fanno, la vittima principale deve effettuare il pagamento. Bleeping Computer cita: “Per facilitare questo, la richiesta di riscatto di Popcorn Time conterrà un URL che punta a un file che si trova sul server TOR del ransomware. In questo momento il server è inattivo, quindi non è sicuro di come questo file apparirà o sarà camuffato per indurre le persone a installarlo.

Inoltre, è possibile aggiungere un'altra funzionalità alla variante che cancellerebbe i file se l'utente inserisce una chiave di decrittazione errata 4 volte. Apparentemente, il Ransomware è ancora in fase di sviluppo e quindi non è noto se questa tattica esiste già al suo interno o è solo una bufala.

Vedi anche:  Anno del ransomware: un breve riepilogo

Il funzionamento di Popcorn Time Ransomware

Una volta installato con successo il ransomware, controlla se il ransomware è già stato eseguito tramite diversi file come %AppData%\been_here e %AppData%\server_step_one . Se il sistema è già stato infettato dal Ransomware, il ceppo si interrompe da solo. Popcorn Time lo capisce se il sistema ha il file 'been_here'. Se nessun file di questo tipo esce in un computer, il ransomware continua a diffondere la cattiveria. Scarica varie immagini da utilizzare come sfondi o avvia il processo di crittografia.

Poiché Popcorn Time è ancora in fase di sviluppo, crittografa solo una cartella di prova chiamata Efiles . Questa cartella esiste sul desktop degli utenti e contiene vari file come .back, .backup, .ach, ecc. (l'elenco completo delle estensioni dei file è riportato di seguito).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Successivamente, il ransomware cerca i file che corrispondono a determinate estensioni e inizia a crittografare i file con la crittografia AES-256. Una volta che un file è crittografato con Popcorn Time, aggiunge .filock come estensione. Ad esempio, se il nome di un file è "abc.docx", verrà modificato in "abc.docx.filock". Quando l'infezione viene eseguita correttamente, converte due stringhe base64 e le salva come note di riscatto chiamate restore_your_files.html e restore_your_files.txt . Successivamente, il ransomware mostra una nota di riscatto HTML.

fonte immagine: bleepingcomputer.com

Protezione contro il ransomware

Sebbene finora non sia stato sviluppato alcun rilevatore o dispositivo di rimozione ransomware che possa aiutare l'utente dopo essere stato infettato, tuttavia, si consiglia agli utenti di adottare misure precauzionali per evitare attacchi ransomware . Il più importante tra tutti è quello di eseguire il backup dei dati . Successivamente, puoi anche garantire una navigazione sicura su Internet, abilitare l'estensione del blocco degli annunci, mantenere un autentico strumento anti-malware e anche aggiornare tempestivamente software, strumenti, app e programmi installati sul tuo sistema. Apparentemente, devi fare affidamento su strumenti affidabili per lo stesso. Uno di questi strumenti è Right Backup, una soluzione di archiviazione cloud . Ti aiuta a salvare i tuoi dati sulla sicurezza del cloud con la crittografia AES a 256 bit.