O Popcorn Time Ransomware está ficando misericordioso ou é apenas um embuste?

Apesar de ter havido inúmeras tensões de Ransomware com ataques intermináveis, os autores de Ransomware parecem ter planejado assustar os usuários com táticas mais novas.

Já recebemos cepas de Ransomware que excluiriam arquivos se o resgate não fosse pago no prazo prescrito. Além disso, existem variantes que bloqueiam os dados do usuário alterando o nome do arquivo, tornando a descriptografia ainda mais difícil. No entanto, desta vez, os autores do Ransomware decidiram garantir um fluxo fácil do Popcorn Time Ransomware para reduzir seu esforço. Ou deveríamos dizer, eles decidiram ser um pouco misericordiosos com as vítimas.

Recentemente, outra cepa de Ransomware chamada Popcorn Time foi descoberta pelo MalwareHunterTeam. A variante tem uma forma incomum de extorquir dinheiro dos usuários. Se uma vítima passar com sucesso a tensão para outros dois usuários, ela obterá uma chave de descriptografia gratuita. Talvez a vítima tenha de pagar se não puder repassá-lo. Para piorar ainda mais, há um código inacabado no ransomware que pode excluir arquivos se o usuário inserir a chave de descriptografia errada 4 vezes.

O que há de suspeito no Popcorn Time Ransomware

A cepa possui um link de referência que é mantido para transmiti-la a outros usuários. A vítima original obtém a chave de descriptografia quando as outras duas pagaram o resgate. Mas, se não o fizerem, a vítima principal terá de fazer o pagamento. Bleeping Computer cita: “Para facilitar isso, a nota de resgate do Popcorn Time conterá um URL que aponta para um arquivo localizado no servidor TOR do ransomware. No momento, o servidor está inativo, então não temos certeza de como esse arquivo aparecerá ou será disfarçado para enganar as pessoas para instalá-lo. ”

Além disso, outro recurso pode ser adicionado à variante que excluiria arquivos se o usuário colocasse a chave de descriptografia incorreta 4 vezes. Aparentemente, o Ransomware ainda está em estágio de desenvolvimento e por isso não se sabe se essa tática já existe nele ou é apenas uma farsa.

Veja também:  Ano do ransomware: Uma breve recapitulação

Funcionamento do Popcorn Time Ransomware

Depois que o Ransomware é instalado com êxito, ele verifica se o ransomware já foi executado por meio de vários arquivos, como % AppData% \ been_here e % AppData% \ server_step_one . Se o sistema já tiver sido infectado com o Ransomware, a cepa se extingue. O Popcorn Time entende isso se o sistema tiver o arquivo 'been_here'. Se nenhum desses arquivos existir em um computador, o ransomware continuará a espalhar a maldade. Ele baixa várias imagens para usar como plano de fundo ou iniciar o processo de criptografia.

Como o Popcorn Time ainda está em seu estágio de desenvolvimento, ele criptografa apenas uma pasta de teste chamada Efiles . Essa pasta existe na área de trabalho dos usuários e contém vários arquivos, como .back, .backup, .ach, etc. (a lista inteira de extensões de arquivo é fornecida abaixo).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Depois disso, o ransomware procura arquivos que correspondam a certas extensões e começa a criptografar os arquivos com criptografia AES-256. Depois que um arquivo é criptografado com Popcorn Time, ele acrescenta .filock como sua extensão. Por exemplo, se o nome de um arquivo for 'abc.docx', ele será alterado para 'abc.docx.filock'. Quando a infecção é realizada com sucesso, ele converte duas strings base64 e as salva como notas de resgate chamadas restore_your_files.html e restore_your_files.txt . Depois disso, o ransomware exibe nota de resgate em HTML.

fonte da imagem: bleepingcomputer.com

Proteção contra ransomware

Embora nenhum detector ou removedor de ransomware tenha sido desenvolvido até agora que possa ajudar o usuário após a infecção, no entanto, os usuários são recomendados a tomar medidas de precaução para evitar o ataque de ransomware . O mais importante é fazer backup de seus dados . Posteriormente, você também pode garantir uma navegação segura na Internet, habilitar a extensão de bloco de anúncios, manter uma ferramenta anti-malware autêntica e também atualizar software, ferramentas, aplicativos e programas em tempo hábil instalados em seu sistema. Aparentemente, você precisa contar com ferramentas confiáveis ​​para fazer o mesmo. Uma dessas ferramentas é o Right Backup, que é uma solução de armazenamento em nuvem . Ele ajuda você a salvar seus dados na segurança da nuvem com criptografia AES de 256 bits.