Popcorn Time Ransomware devine milostiv sau este doar o farsă?

În ciuda faptului că au existat nenumărate tulpini de Ransomware cu atacuri nesfârșite, autorii Ransomware par să fi plănuit să sperie utilizatorii cu tactici mai noi.

Am primit deja tulpini de ransomware care ar șterge fișiere dacă răscumpărarea nu este plătită în termenul stabilit. În plus, există variante care blochează datele utilizatorului prin schimbarea numelui fișierului, ceea ce face decriptarea și mai dificilă. Cu toate acestea, de data aceasta, autorii Ransomware au decis să asigure un flux ușor de Popcorn Time Ransomware pentru a-și reduce efortul. Sau ar trebui să spunem că au decis să fie puțin milostivi cu victimele.

Recent, o altă tulpină de ransomware numită Popcorn Time a fost descoperită de MalwareHunterTeam. Varianta are o modalitate neobișnuită de a stoarce bani de la utilizatori. Dacă o victimă trece cu succes peste tulpina altor doi utilizatori, ar primi o cheie de decriptare gratuită. Poate că victima va trebui să plătească dacă nu o poate trece. Pentru a face și mai rău, există un cod neterminat în ransomware care ar putea șterge fișiere dacă utilizatorul introduce cheia de decriptare greșită de 4 ori.

Ce este de pește la Popcorn Time Ransomware

Tulpina are o legătură de referință care este păstrată pentru a o transmite altor utilizatori. Victima inițială primește cheia de decriptare atunci când celelalte două au plătit răscumpărare. Dar, dacă nu o fac, atunci victima principală trebuie să facă plata. Bleeping Computer citează: „Pentru a facilita acest lucru, nota de răscumpărare Popcorn Time va conține o adresă URL care indică un fișier aflat pe serverul TOR al ransomware-ului. În acest moment, serverul este oprit, așa că nu este sigur cum va apărea sau va fi deghizat acest fișier pentru a păcăli oamenii să-l instaleze.”

În plus, la varianta poate fi adăugată o altă caracteristică care ar șterge fișierele dacă utilizatorul introduce cheia de decriptare incorectă de 4 ori. Aparent, ransomware-ul este încă în stadiu de dezvoltare și deci nu se știe dacă această tactică există deja în el sau este doar o farsă.

Vezi și:  Anul ransomware-ului: o scurtă recapitulare

Funcționează Popcorn Time Ransomware

Odată ce ransomware-ul este instalat cu succes, verifică dacă ransomware-ul a fost deja rulat prin mai multe fișiere, cum ar fi %AppData%\been_here și %AppData%\server_step_one . Dacă sistemul a fost deja infectat cu Ransomware, atunci tulpina se termină de la sine. Popcorn Time înțelege acest lucru dacă sistemul are fișierul „been_here”. Dacă niciun astfel de fișier nu iese într-un computer, ransomware-ul continuă să răspândească răutatea. Descarcă diverse imagini pentru a le folosi ca fundal sau începe procesul de criptare.

Deoarece Popcorn Time este încă în stadiul de dezvoltare, criptează doar un folder de testare numit Efiles . Acest folder există pe desktop-ul utilizatorilor și conține diverse fișiere precum .back, .backup, .ach etc. (întreaga listă a extensiilor de fișiere este dată mai jos).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Ulterior, ransomware-ul caută fișiere care se potrivesc cu anumite extensii și începe să cripteze fișierele cu criptare AES-256. Odată ce un fișier este criptat cu Popcorn Time, acesta adaugă .filock ca extensie. De exemplu, dacă numele unui fișier este „abc.docx”, atunci acesta va fi schimbat în „abc.docx.filock”. Când infecția este întreprinsă cu succes, convertește două șiruri de caractere base64 și le salvează ca note de răscumpărare numite restore_your_files.html și restore_your_files.txt . Ulterior, ransomware-ul prezintă o notă de răscumpărare HTML.

sursa imagine: bleepingcomputer.com

Protecție împotriva ransomware-ului

Deși până acum nu a fost dezvoltat niciun detector sau dispozitiv de îndepărtare a ransomware care să poată ajuta utilizatorul după ce a fost infectat cu acesta, totuși, utilizatorilor li se recomandă să ia măsuri de precauție pentru a evita atacul ransomware . Cel mai important dintre toate este să faci o copie de rezervă a datelor tale . Ulterior, puteți, de asemenea, să vă asigurați navigarea în siguranță pe internet, să activați extensia blocului de anunțuri, să păstrați un instrument anti-malware autentic și, de asemenea, să actualizați în timp util software-ul, instrumentele, aplicațiile și programul instalat pe sistemul dumneavoastră. Aparent, trebuie să vă bazați pe instrumente de încredere pentru același lucru. Un astfel de instrument este Right Backup, care este o soluție de stocare în cloud . Vă ajută să vă salvați datele în securitatea în cloud cu criptarea AES pe 256 de biți.