Popcorn Time Ransomwareは慈悲深いのか、それとも単なるデマなのか？

無限の攻撃を伴うランサムウェアの系統は無数にありますが、ランサムウェアの作成者は、新しい戦術でユーザーを怖がらせることを計画しているようです。

所定の制限時間内に身代金が支払われない場合にファイルを削除するランサムウェア株をすでに受け取っています。さらに、ファイル名を変更することでユーザーのデータをロックし、復号化をさらに困難にするバリアントがあります。ただし、今回、ランサムウェアの作成者は、労力を削減するためにPopcorn TimeRansomwareのフローを容易にすることを決定しました。あるいは、彼らは犠牲者に対して少し慈悲深いことを決心したと言うべきです。

最近、PopcornTimeと呼ばれる別のランサムウェア株がMalwareHunterTeamによって発見されました。この亜種には、ユーザーから金銭を強要する珍しい方法があります。被害者が他の2人のユーザーにその株を渡すことに成功した場合、彼は無料の復号化キーを取得します。おそらく、犠牲者はそれを渡すことができない場合、支払う必要があります。さらに悪いことに、ランサムウェアには未完成のコードがあり、ユーザーが間違った復号化キーを4回入力するとファイルが削除される可能性があります。

Popcorn TimeRansomwareの何が怪しいのか

菌株には、他のユーザーに送信するために保持されている紹介リンクがあります。元の被害者は、さらに2人が身代金を支払ったときに、復号化キーを取得します。しかし、そうでない場合、主な被害者は支払いをしなければなりません。Bleeping Computerは、次のように述べています。「これを容易にするために、Popcorn Timeの身代金メモには、ランサムウェアのTORサーバーにあるファイルを指すURLが含まれています。現時点ではサーバーがダウンしているため、このファイルをだましてインストールするために、このファイルがどのように表示されるか、または偽装されるかは不明です。」

さらに、ユーザーが誤った復号化キーを4回入力した場合にファイルを削除する、別の機能がバリアントに追加される場合があります。どうやら、ランサムウェアはまだ開発段階にあるため、この戦術がすでに存在するのか、それとも単なるデマであるのかは不明です。

関連項目： ランサムウェアの年：簡単な要約

Popcorn TimeRansomwareの仕組み

ランサムウェアが正常にインストールされると、％AppData％\ been_hereや％AppData％\ server_step_oneなどのいくつかのファイルを介してランサムウェアがすでに実行されているかどうかがチェックされます。システムがすでにランサムウェアに感染している場合、その株は自動的に終了します。システムに「been_here」ファイルがある場合、PopcornTimeはこれを理解します。そのようなファイルがコンピュータに存在しない場合、ランサムウェアは悪意を広め続けます。さまざまな画像をダウンロードして、背景として使用したり、暗号化プロセスを開始したりします。

Popcorn Timeはまだ開発段階にあるため、Efilesというテストフォルダーのみを暗号化します。このフォルダはユーザーのデスクトップに存在し、.back、.backup、.achなどのさまざまなファイルが含まれています（ファイル拡張子の全リストを以下に示します）。

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

その後、ランサムウェアは特定の拡張子に一致するファイルを探し、AES-256暗号化でファイルの暗号化を開始します。ファイルがPopcornTimeで暗号化されると、拡張子として.filockが追加されます。たとえば、ファイル名が「abc.docx」の場合、「abc.docx.filock」に変更されます。感染が正常に行われると、2つのbase64文字列が変換され、restore_your_files.htmlおよびrestore_your_files.txtという身代金メモとして保存されます。その後、ランサムウェアはHTMLの身代金メモを表示します。

画像ソース：bleepingcomputer.com

ランサムウェアに対する保護

これまで、感染後にユーザーを支援できる検出器やランサムウェアリムーバーは開発されていませんが、ランサムウェア攻撃を回避するための予防措置を講じることをお勧めします。何よりも重要なのは、データのバックアップを取ることです。その後、インターネットでの安全なサーフィンを確保し、広告ブロック拡張を有効にし、本物のマルウェア対策ツールを維持し、システムにインストールされているソフトウェア、ツール、アプリ、プログラムをタイムリーに更新することもできます。どうやら、あなたは同じために信頼できるツールに頼る必要があります。そのようなツールの1つは、クラウドストレージソリューションであるRightBackupです。256ビットのAES暗号化を使用してクラウドセキュリティにデータを保存するのに役立ちます。