Popcorn Time Ransomware ได้รับความเมตตาหรือเป็นเพียงเรื่องหลอกลวง?

แม้จะมีRansomwareมากมายที่มีการโจมตีไม่รู้จบ ผู้เขียน Ransomware ดูเหมือนจะวางแผนที่จะหลอกหลอนผู้ใช้ด้วยกลยุทธ์ที่ใหม่กว่า

เราได้รับ Ransomware สายพันธุ์ที่จะลบไฟล์หากไม่จ่ายค่าไถ่ภายในระยะเวลาที่กำหนด นอกจากนี้ยังมีตัวแปรอื่นๆ ที่ล็อคข้อมูลของผู้ใช้ด้วยการเปลี่ยนชื่อไฟล์ ทำให้ถอดรหัสยากขึ้น อย่างไรก็ตาม ในครั้งนี้ ผู้เขียน Ransomware ตัดสินใจที่จะทำให้ Popcorn Time Ransomware ไหลลื่นได้ง่าย เพื่อลดความพยายามของพวกเขา หรือเราควรจะพูดว่า พวกเขาตัดสินใจที่จะเมตตาเหยื่อสักหน่อย

ล่าสุด MalwareHunterTeam ค้นพบ Ransomware สายพันธุ์อื่นที่เรียกว่า Popcorn Time ตัวแปรนี้มีวิธีการรีดไถเงินจากผู้ใช้ที่ผิดปกติ หากเหยื่อส่งต่อความเครียดให้กับผู้ใช้อีกสองคนได้สำเร็จ เขาจะได้รับคีย์ถอดรหัสฟรี บางทีเหยื่อจะต้องจ่ายเงินหากไม่สามารถส่งต่อได้ เพื่อให้เลวร้ายยิ่งขึ้น มีรหัสที่ยังไม่เสร็จใน ransomware ซึ่งอาจลบไฟล์หากผู้ใช้ป้อนคีย์ถอดรหัสผิด 4 ครั้ง

มีอะไรน่าสงสัยเกี่ยวกับ Popcorn Time Ransomware

สายพันธุ์นี้มีลิงก์อ้างอิงซึ่งเก็บไว้เพื่อส่งต่อไปยังผู้ใช้รายอื่น เหยื่อรายเดิมได้รับคีย์ถอดรหัสเมื่ออีกสองคนจ่ายเงินค่าไถ่ แต่ถ้าไม่ใช่ เหยื่อหลักก็ต้องชดใช้ คำพูดของ Bleeping Computer "เพื่อความสะดวกในเรื่องนี้ บันทึกค่าไถ่ Popcorn Time จะมี URL ที่ชี้ไปยังไฟล์ที่อยู่บนเซิร์ฟเวอร์ TOR ของ ransomware ในเวลานี้เซิร์ฟเวอร์หยุดทำงาน ดังนั้นจึงไม่แน่ใจว่าไฟล์นี้จะปรากฏหรือปลอมแปลงอย่างไร เพื่อหลอกให้ผู้อื่นติดตั้ง”

นอกจากนี้ อาจมีการเพิ่มคุณสมบัติอื่นในตัวแปรที่จะลบไฟล์หากผู้ใช้วางคีย์ถอดรหัสที่ไม่ถูกต้อง 4 ครั้ง เห็นได้ชัดว่า Ransomware ยังอยู่ในขั้นตอนการพัฒนา ดังนั้นจึงไม่ทราบว่ามีกลยุทธ์นี้อยู่แล้วหรือเป็นเพียงการหลอกลวง

ดูเพิ่มเติมที่:  ปีแห่งแรนซัมแวร์: บทสรุปโดยย่อ

การทำงานของ Popcorn Time Ransomware

เมื่อติดตั้ง Ransomware สำเร็จแล้ว จะตรวจสอบว่าแรนซัมแวร์ถูกเรียกใช้ผ่านไฟล์หลายไฟล์ เช่น%AppData%\been_hereและ%AppData%\server_step_oneแล้วหรือยัง หากระบบติดแรนซัมแวร์แล้ว ความเครียดจะยุติการทำงานเอง Popcorn Time เข้าใจสิ่งนี้หากระบบมีไฟล์ 'been_here' หากไม่มีไฟล์ดังกล่าวออกจากคอมพิวเตอร์ แรนซัมแวร์จะแพร่กระจายความชั่วร้ายต่อไป มันดาวน์โหลดภาพต่าง ๆ เพื่อใช้เป็นพื้นหลังหรือเริ่มกระบวนการเข้ารหัส

ตั้งแต่ Popcorn เวลายังอยู่ในช่วงการพัฒนาของมันเพียงเข้ารหัสโฟลเดอร์ทดสอบที่เรียกว่าeFiles โฟลเดอร์นี้มีอยู่บนเดสก์ท็อปของผู้ใช้และมีไฟล์ต่างๆ เช่น .back, .backup, .ach เป็นต้น (ดูรายการนามสกุลไฟล์ทั้งหมดด้านล่าง)

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

หลังจากนั้นแรนซัมแวร์จะค้นหาไฟล์ที่ตรงกับนามสกุลและเริ่มเข้ารหัสไฟล์ด้วยการเข้ารหัส AES-256 เมื่อไฟล์ถูกเข้ารหัสด้วย Popcorn Time ไฟล์นั้นจะเพิ่ม .filock เป็นนามสกุล ตัวอย่างเช่น หากชื่อไฟล์คือ 'abc.docx' ไฟล์นั้นจะถูกเปลี่ยนเป็น 'abc.docx.filock' เมื่อติดเชื้อจะดำเนินการเสร็จเรียบร้อยแล้วจะแปลงสอง base64 สตริงและบันทึกไว้เป็นบันทึกค่าไถ่เรียกrestore_your_files.htmlและrestore_your_files.txt หลังจากนั้น ransomware แสดงหมายเหตุเรียกค่าไถ่ HTML

ที่มาของภาพ: bleepingcomputer.com

การป้องกันแรนซัมแวร์

แม้ว่าจะไม่มีการพัฒนาตัวตรวจจับหรือตัวกำจัดแรนซัมแวร์จนถึงขณะนี้ที่สามารถช่วยเหลือผู้ใช้หลังจากติดไวรัสแล้ว อย่างไรก็ตาม ขอแนะนำให้ผู้ใช้ใช้มาตรการป้องกันไว้ก่อนเพื่อหลีกเลี่ยงการโจมตีของแรนซัมแวร์ สำคัญที่สุดในหมู่ทั้งหมดคือการใช้สำรองข้อมูลของคุณ ต่อจากนั้น คุณยังสามารถรับประกันการท่องอินเทอร์เน็ตอย่างปลอดภัย เปิดใช้งานส่วนขยายบล็อคโฆษณา เก็บเครื่องมือป้องกันมัลแวร์ของแท้ และอัปเดตซอฟต์แวร์ เครื่องมือ แอพและโปรแกรมที่ติดตั้งบนระบบของคุณในเวลาที่เหมาะสม เห็นได้ชัดว่าคุณต้องพึ่งพาเครื่องมือที่เชื่อถือได้เช่นเดียวกัน หนึ่งเครื่องมือดังกล่าวคือการสำรองข้อมูลที่เหมาะสมซึ่งเป็นวิธีการแก้ปัญหาการจัดเก็บเมฆ ช่วยให้คุณบันทึกข้อมูลของคุณเกี่ยวกับการรักษาความปลอดภัยบนคลาวด์ด้วยการเข้ารหัส AES 256 บิต