Wordt Popcorn Time Ransomware genadig of is het gewoon een hoax?

Ondanks dat er talloze Ransomware- soorten zijn geweest met eindeloze aanvallen, lijken de auteurs van Ransomware van plan te zijn gebruikers bang te maken met nieuwere tactieken.

We hebben al Ransomware-soorten ontvangen die bestanden zouden verwijderen als het losgeld niet binnen de voorgeschreven tijdslimiet wordt betaald. Verder zijn er varianten die de gegevens van de gebruiker vergrendelen door de bestandsnaam te wijzigen, waardoor het ontsleutelen nog moeilijker wordt. Maar deze keer besloten de Ransomware-auteurs ervoor te zorgen dat Popcorn Time Ransomware gemakkelijk doorstroomde om hun inspanningen te verminderen. Of we moeten zeggen, ze hebben besloten een beetje barmhartig te zijn jegens slachtoffers.

Onlangs werd door MalwareHunterTeam een ​​andere Ransomware-soort ontdekt, Popcorn Time genaamd. De variant heeft een ongebruikelijke manier om geld van gebruikers af te persen. Als een slachtoffer de spanning met succes overdraagt ​​aan twee andere gebruikers, krijgt hij een gratis decoderingssleutel. Misschien moet het slachtoffer betalen als hij het niet kan doorgeven. Om het nog erger te maken, is er een onvoltooide code in de ransomware die bestanden kan verwijderen als de gebruiker 4 keer een verkeerde decoderingssleutel invoert.

Wat is er raar aan Popcorn Time Ransomware?

De soort heeft een verwijzingslink die wordt bewaard om deze door te geven aan andere gebruikers. Het oorspronkelijke slachtoffer krijgt de decoderingssleutel wanneer de andere twee losgeld hebben betaald. Maar als ze dat niet doen, moet het primaire slachtoffer de betaling doen. Bleeping Computer citeert: “Om dit te vergemakkelijken, zal de Popcorn Time losgeldbrief een URL bevatten die verwijst naar een bestand dat zich op de TOR-server van de ransomware bevindt. Op dit moment is de server down, dus het is niet zeker hoe dit bestand eruit zal zien of vermomd zal worden om mensen te misleiden om het te installeren.”

Verder kan een andere functie aan de variant worden toegevoegd die bestanden zou verwijderen als de gebruiker toevallig 4 keer een onjuiste decoderingssleutel invoert. Blijkbaar bevindt de Ransomware zich nog in de ontwikkelingsfase en dus is het niet bekend of deze tactiek er al in bestaat of dat het slechts een hoax is.

Zie ook:  Jaar van ransomware: een korte samenvatting

De werking van Popcorn Time Ransomware

Zodra de Ransomware met succes is geïnstalleerd, controleert het of de ransomware al is uitgevoerd via verschillende bestanden zoals %AppData%\been_here en %AppData%\server_step_one . Als het systeem al is geïnfecteerd met de Ransomware, stopt de stam zichzelf. Popcorn Time begrijpt dit als het systeem een ​​'been_here'-bestand heeft. Als zo'n bestand niet op een computer terechtkomt, gaat de ransomware verder met het verspreiden van de kwaadaardigheid. Het downloadt verschillende afbeeldingen om als achtergrond te gebruiken of om het coderingsproces te starten.

Aangezien Popcorn Time zich nog in de ontwikkelingsfase bevindt, versleutelt het alleen een testmap met de naam Efiles . Deze map bestaat op het bureaublad van gebruikers en bevat verschillende bestanden zoals .back, .backup, .ach, enz. (de volledige lijst met bestandsextensies wordt hieronder weergegeven).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Daarna zoekt de ransomware naar bestanden die overeenkomen met de bepaalde extensies en begint de bestanden te versleutelen met AES-256-codering. Zodra een bestand is versleuteld met Popcorn Time, voegt het .filock toe als extensie. Als een bestandsnaam bijvoorbeeld 'abc.docx' is, wordt deze gewijzigd in 'abc.docx.filock'. Wanneer de infectie succesvol is uitgevoerd, worden twee base64-strings geconverteerd en opgeslagen als losgeldnota's genaamd restore_your_files.html en restore_your_files.txt . Daarna vertoont de ransomware een HTML-losgeldbrief.

afbeeldingsbron: bleepingcomputer.com

Bescherming tegen ransomware

Hoewel er tot nu toe geen detector of ransomware-verwijderaar is ontwikkeld die de gebruiker kan helpen nadat hij ermee is geïnfecteerd, wordt gebruikers echter aangeraden voorzorgsmaatregelen te nemen om ransomware-aanvallen te voorkomen . Het allerbelangrijkste is om een back-up van uw gegevens te maken . Vervolgens kunt u ook zorgen voor veilig surfen op internet, adblock-extensies inschakelen, een authentieke anti-malwaretool behouden en ook software, tools, apps en programma's die op uw systeem zijn geïnstalleerd tijdig updaten. Blijkbaar moet u daarvoor vertrouwen op betrouwbare tools. Een van die tools is Right Backup, een oplossing voor cloudopslag . Het helpt u uw gegevens op cloudbeveiliging op te slaan met 256-bits AES-codering.