Pomimo niezliczonych odmian Ransomware z niekończącymi się atakami, wydaje się, że autorzy Ransomware planowali przestraszyć użytkowników za pomocą nowszych taktyk.
Otrzymaliśmy już szczepy Ransomware, które usuwają pliki, jeśli okup nie zostanie zapłacony w wyznaczonym terminie. Ponadto istnieją warianty, które blokują dane użytkownika poprzez zmianę nazwy pliku, co jeszcze bardziej utrudnia odszyfrowanie. Jednak tym razem autorzy Ransomware postanowili zapewnić łatwy przepływ Popcorn Time Ransomware, aby zmniejszyć swój wysiłek. Albo powinniśmy powiedzieć, że postanowili być trochę miłosierni dla ofiar.
Niedawno MalwareHunterTeam odkrył inny szczep ransomware o nazwie Popcorn Time. Wariant ma nietypowy sposób na wyłudzanie pieniędzy od użytkowników. Jeśli ofiara pomyślnie przekaże obciążenie dwóm innym użytkownikom, otrzyma darmowy klucz deszyfrujący. Być może ofiara będzie musiała zapłacić, jeśli nie będzie w stanie tego ominąć. Co gorsza, w ransomware znajduje się niedokończony kod, który może usunąć pliki, jeśli użytkownik wprowadzi zły klucz deszyfrujący 4 razy.
Co jest podejrzanego w oprogramowaniu Popcorn Time Ransomware?
Szczep posiada link polecający, który jest przechowywany w celu przekazania go innym użytkownikom. Pierwotna ofiara otrzymuje klucz odszyfrowywania, gdy dwie kolejne zapłaciły okup. Ale jeśli nie, to główna ofiara musi dokonać płatności. Bleeping Computer cytuje: „Aby to ułatwić, żądanie okupu Popcorn Time będzie zawierać adres URL, który wskazuje na plik znajdujący się na serwerze TOR ransomware. W tej chwili serwer nie działa, więc nie ma pewności, jak ten plik będzie wyglądał lub został zamaskowany, aby nakłonić ludzi do jego zainstalowania.”
Co więcej, do wariantu może zostać dodana inna funkcja, która usuwałaby pliki, jeśli użytkownik wprowadzi nieprawidłowy klucz deszyfrujący 4 razy. Najwyraźniej Ransomware jest wciąż w fazie rozwoju, więc nie wiadomo, czy ta taktyka już w nim istnieje, czy to tylko mistyfikacja.
Zobacz też: Rok ransomware: krótkie podsumowanie
Działanie Popcorn Time Ransomware
Po pomyślnym zainstalowaniu ransomware sprawdza, czy ransomware zostało już uruchomione za pomocą kilku plików, takich jak %AppData%\been_here i %AppData%\server_step_one . Jeśli system został już zainfekowany przez ransomware, szczep sam się kończy. Popcorn Time rozumie to, jeśli system ma plik „tutaj”. Jeśli żaden taki plik nie zostanie zamknięty na komputerze, oprogramowanie ransomware rozprzestrzenia złośliwość. Pobiera różne obrazy do wykorzystania jako tła lub rozpoczęcia procesu szyfrowania.
Ponieważ Popcorn Time jest wciąż w fazie rozwoju, szyfruje tylko folder testowy o nazwie Efiles . Folder ten istnieje na pulpicie użytkowników i zawiera różne pliki, takie jak .back, .backup, .ach, itp. (cała lista rozszerzeń plików znajduje się poniżej).
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp
Następnie ransomware szuka plików pasujących do określonych rozszerzeń i rozpoczyna szyfrowanie plików za pomocą szyfrowania AES-256. Gdy plik jest zaszyfrowany za pomocą Popcorn Time, dołącza on .filock jako jego rozszerzenie. Na przykład, jeśli nazwa pliku to „abc.docx”, to zostanie zmieniona na „abc.docx.filock”. Gdy infekcja zostanie pomyślnie przeprowadzona, konwertuje dwa ciągi znaków base64 i zapisuje je jako notatki dotyczące okupu o nazwie restore_your_files.html i restore_your_files.txt . Następnie oprogramowanie ransomware wyświetla żądanie okupu w formacie HTML.
źródło obrazu: bleepingcomputer.com
Ochrona przed oprogramowaniem ransomware
Chociaż do tej pory nie opracowano żadnego wykrywacza ani narzędzia do usuwania oprogramowania ransomware, które mogłoby pomóc użytkownikowi po tym, jak został nim zainfekowany, zaleca się jednak użytkownikom podjęcie środków ostrożności w celu uniknięcia ataku ransomware . Przede wszystkim jest wykonanie kopii zapasowej danych . Następnie możesz również zapewnić bezpieczne surfowanie w Internecie, włączyć rozszerzenie blokowania reklam, zachować autentyczne narzędzie do ochrony przed złośliwym oprogramowaniem, a także terminowo aktualizować oprogramowanie, narzędzia, aplikacje i programy zainstalowane w systemie. Najwyraźniej musisz polegać na niezawodnych narzędziach do tego samego. Jednym z takich narzędzi jest Right Backup, który jest rozwiązaniem do przechowywania w chmurze . Pomaga chronić dane w chmurze dzięki 256-bitowemu szyfrowaniu AES.
Chrome domyślnie nie wyświetla pełnego adresu URL. Być może nie przejmujesz się zbytnio tym szczegółem, ale jeśli z jakiegoś powodu potrzebujesz wyświetlenia pełnego adresu URL, szczegółowe instrukcje dotyczące tego, jak sprawić, by przeglądarka Google Chrome wyświetlała pełny adres URL w pasku adresu.
Reddit ponownie zmienił swój wygląd w styczniu 2024 r. Przeprojektowanie może być widoczne dla użytkowników przeglądarek na komputerach stacjonarnych i zawęża główny kanał podczas udostępniania linków
Wpisywanie ulubionego cytatu z książki na Facebooku jest czasochłonne i pełne błędów. Dowiedz się, jak używać Obiektywu Google do kopiowania tekstu z książek na urządzenia.
Czasami podczas pracy w przeglądarce Chrome nie można uzyskać dostępu do niektórych witryn internetowych i pojawia się komunikat o błędzie „Nie można znaleźć adresu DNS serwera napraw w przeglądarce Chrome”. Oto jak możesz rozwiązać ten problem.
Przypomnienia zawsze były główną atrakcją Google Home. Z pewnością ułatwiają nam życie. Obejrzyjmy szybko, jak tworzyć przypomnienia w Google Home, aby nigdy nie przegapić ważnych spraw.
Jak zmienić hasło do usługi strumieniowego przesyłania wideo Netflix za pomocą preferowanej przeglądarki lub aplikacji na Androida.
Jeśli chcesz pozbyć się komunikatu Przywróć strony w Microsoft Edge, po prostu zamknij przeglądarkę lub naciśnij klawisz Escape.
I like to keep my neighbors entertained by changing my Wi-Fi network to different funny names. If youre looking for ideas for a funny Wi-Fi name, here
Uwierzytelnianie to proces weryfikacji tożsamości. Zwykle odbywa się to za pomocą czegoś, co znasz. Czytaj dalej, aby dowiedzieć się więcej.
Zobacz, jak łatwo można tworzyć dowolne playlisty i jak łatwo je edytować w YouTube Music. Oto kroki, które należy wykonać.
