Popcorn Time Ransomware는 자비로워지고 있습니까? 아니면 그냥 사기입니까?

끝없는 공격 으로 무수히 많은 랜섬웨어 변종 이 있었음에도 불구하고 랜섬웨어 작성자는 새로운 전술로 사용자를 놀라게 할 계획을 세운 것으로 보입니다.

우리는 이미 정해진 기한 내에 몸값을 지불하지 않으면 파일을 삭제하는 랜섬웨어 변종을 받았습니다. 또한 파일 이름을 변경하여 사용자 데이터를 잠그는 변종이 있어 암호 해독을 더욱 어렵게 만듭니다. 하지만 이번에는 랜섬웨어 작성자들이 팝콘타임 랜섬웨어의 원활한 흐름을 보장하기로 결정했습니다. 아니면 피해자들에게 약간의 자비를 베풀기로 결정했다고 말해야 합니다.

최근 MalwareHunterTeam에서 Popcorn Time이라는 또 다른 랜섬웨어 변종을 발견했습니다. 변종에는 사용자로부터 돈을 갈취하는 특이한 방법이 있습니다. 피해자가 성공적으로 두 명의 다른 사용자에게 변형을 전달하면 무료 암호 해독 키를 받게 됩니다. 아마도 피해자가 그것을 전달할 수 없다면 비용을 지불해야 할 것입니다. 설상가상으로 랜섬웨어에는 사용자가 잘못된 암호 해독 키를 4번 입력하면 파일을 삭제할 수 있는 미완성 코드가 있습니다.

Popcorn Time Ransomware에 대한 비린내가 무엇입니까?

균주에는 다른 사용자에게 전송하기 위해 유지되는 추천 링크가 있습니다. 원본 피해자는 추가 2명이 몸값을 지불 하면 암호 해독 키를 받습니다 . 그러나 그렇지 않을 경우 1차 피해자가 비용을 지불해야 합니다. Bleeping Computer는 "이를 용이하게 하기 위해 Popcorn Time 랜섬 노트에는 랜섬웨어의 TOR 서버에 있는 파일을 가리키는 URL이 포함됩니다. 현재 서버가 다운되어 사람들이 설치하도록 속이기 위해 이 파일이 어떻게 나타나거나 위장할지 확신할 수 없습니다.”

또한 사용자가 잘못된 암호 해독 키를 4번 입력하면 파일을 삭제하는 또 다른 기능이 변종에 추가될 수 있습니다. 분명히 랜섬웨어는 아직 개발 단계에 있으므로 이 전술이 이미 존재하는지 아니면 단순한 속임수인지 알 수 없습니다.

참조:  랜섬웨어의 해: 간략한 요약

팝콘 타임 랜섬웨어의 작동 원리

랜섬웨어가 성공적으로 설치되면 %AppData%\been_here 및 %AppData%\server_step_one 과 같은 여러 파일을 통해 이미 랜섬웨어가 실행되었는지 확인합니다 . 시스템이 이미 랜섬웨어에 감염된 경우 변형이 자체적으로 종료됩니다. 팝콘 타임은 시스템에 'been_here' 파일이 있는 경우 이를 이해합니다. 이러한 파일이 컴퓨터에 존재하지 않으면 랜섬웨어가 계속해서 악의를 퍼뜨립니다. 다양한 이미지를 다운로드하여 배경으로 사용하거나 암호화 프로세스를 시작합니다.

Popcorn Time은 아직 개발 단계이기 때문에 Efiles 라는 테스트 폴더만 암호화합니다 . 이 폴더는 사용자의 데스크탑에 존재하며 .back, .backup, .ach 등과 같은 다양한 파일을 포함합니다(파일 확장자의 전체 목록은 아래에 나와 있습니다).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

이후 랜섬웨어는 특정 확장자와 일치하는 파일을 찾아 AES-256 암호화로 파일 암호화를 시작합니다. 파일이 Popcorn Time으로 암호화되면 확장자로 .filock이 추가됩니다. 예를 들어 파일 이름이 'abc.docx'이면 'abc.docx.filock'으로 변경됩니다. 감염이 성공적으로 수행되면 두 개의 base64 문자열을 변환하여 restore_your_files.html 및 restore_your_files.txt 라는 랜섬 노트로 저장합니다 . 그 후 랜섬웨어는 HTML 랜섬 노트를 표시합니다.

이미지 출처: bleepingcomputer.com

랜섬웨어로부터 보호

지금까지 사용자가 감염된 후 도움이 되는 탐지기나 랜섬웨어 제거 프로그램이 개발되지 않았지만 사용자는 랜섬웨어 공격 을 피하기 위한 예방 조치를 취하는 것이 좋습니다 . 무엇보다도 가장 중요한 것은 데이터를 백업하는 것 입니다. 그 결과, 인터넷에서 안전한 서핑을 보장하고, 광고 차단 확장을 활성화하고, 진정한 맬웨어 방지 도구를 유지하고, 시스템에 설치된 소프트웨어, 도구, 앱 및 프로그램을 적시에 업데이트할 수도 있습니다. 분명히 신뢰할 수 있는 도구에 의존해야 합니다. 그러한 도구 중 하나는 클라우드 스토리지 솔루션인 Right Backup입니다 . 256비트 AES 암호화로 클라우드 보안에 데이터를 저장할 수 있습니다 .