Popcorn Time Ransomware становится милосердным или это просто обман?

Несмотря на то, что существует бесчисленное множество разновидностей программ- вымогателей с бесконечными атаками, авторы программ-вымогателей, похоже, планировали напугать пользователей новой тактикой.

Мы уже получили штаммы программ-вымогателей, которые удаляли файлы, если выкуп не был уплачен в установленный срок. Кроме того, существуют варианты, которые блокируют данные пользователя путем изменения имени файла, что еще больше усложняет дешифрование. Однако на этот раз авторы Ransomware решили обеспечить беспрепятственный поток Popcorn Time Ransomware, чтобы уменьшить свои усилия. Или, надо сказать, решили проявить немного милосердия к жертвам.

Недавно команда MalwareHunterTeam обнаружила еще один штамм вымогателей под названием Popcorn Time. Вариант имеет необычный способ вымогательства денег у пользователей. Если жертва успешно передаст нагрузку двум другим пользователям, она получит бесплатный ключ дешифрования. Возможно, потерпевшему придется заплатить, если он не сможет его передать. Что еще хуже, в программе-вымогателе есть незаконченный код, который может удалить файлы, если пользователь 4 раза введет неправильный ключ дешифрования.

Что подозрительного в программе-вымогателе Popcorn Time

У штамма есть реферальная ссылка, которая сохраняется для передачи другим пользователям. Первоначальная жертва получает ключ дешифрования, когда двое других заплатят выкуп. Но если они этого не сделают, то основная жертва должна будет произвести оплату. Bleeping Computer цитирует: «Чтобы облегчить это, записка с требованием выкупа Popcorn Time будет содержать URL-адрес, который указывает на файл, расположенный на сервере TOR вымогателя. В настоящее время сервер не работает, поэтому неизвестно, как этот файл будет выглядеть или замаскирован, чтобы обманом заставить людей установить его ».

Кроме того, к варианту может быть добавлена ​​еще одна функция, которая будет удалять файлы, если пользователь 4 раза укажет неверный ключ дешифрования. По-видимому, программа-вымогатель все еще находится в стадии разработки, поэтому неизвестно, существует ли эта тактика в нем или это просто обман.

См. Также:  Год программ-вымогателей: краткое описание

Работа программы-вымогателя Popcorn Time

После успешной установки программы-вымогателя она проверяет, была ли программа-вымогатель уже запущена, через несколько файлов, таких как % AppData% \ been_here и % AppData% \ server_step_one . Если система уже была заражена программой-вымогателем, штамм прекращает работу. Popcorn Time понимает это, если в системе есть файл was_here. Если такой файл не выходит на компьютере, программа-вымогатель продолжает распространять злобу. Он загружает различные изображения для использования в качестве фона или для запуска процесса шифрования.

Поскольку Popcorn Time все еще находится на стадии разработки, он шифрует только тестовую папку Efiles . Эта папка существует на рабочем столе пользователей и содержит различные файлы, такие как .back, .backup, .ach и т. Д. (Полный список расширений файлов приведен ниже).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

После этого программа-вымогатель ищет файлы с определенными расширениями и начинает шифрование файлов с помощью шифрования AES-256. После того, как файл зашифрован с помощью Popcorn Time, к его расширению добавляется .filock. Например, если имя файла - «abc.docx», оно будет изменено на «abc.docx.filock». После успешного заражения он преобразует две строки base64 и сохраняет их в виде заметок о выкупе, которые называются restore_your_files.html и restore_your_files.txt . После этого программа-вымогатель показывает записку о выкупе в формате HTML.

источник изображения: bleepingcomputer.com

Защита от программ-вымогателей

Хотя до сих пор не было разработано детектора или средства для удаления программ-вымогателей, которые могли бы помочь пользователю после заражения им, тем не менее, пользователям рекомендуется принять меры предосторожности, чтобы избежать атаки программ-вымогателей . Прежде всего, необходимо сделать резервную копию ваших данных . Впоследствии вы также можете обеспечить безопасный серфинг в Интернете, включить расширение блокировки рекламы, сохранить подлинный инструмент защиты от вредоносных программ, а также своевременно обновлять программное обеспечение, инструменты, приложения и программы, установленные в вашей системе. Видимо, для этого нужно полагаться на надежные инструменты. Одним из таких инструментов является Right Backup, который представляет собой облачное хранилище . Это поможет вам сохранить ваши данные в облачной безопасности с 256-битным шифрованием AES.