Sonsuz saldırılara sahip sayısız Ransomware türü olmasına rağmen , Ransomware yazarları kullanıcıları daha yeni taktiklerle korkutmayı planlamış görünüyor.
Fidyenin belirtilen süre içinde ödenmemesi durumunda dosyaları silecek olan Fidye Yazılımı türlerini zaten aldık. Ayrıca, dosya adını değiştirerek kullanıcının verilerini kilitleyen ve şifre çözmeyi daha da zorlaştıran varyantlar vardır. Ancak bu sefer, Fidye Yazılımı yazarları, çabalarını azaltmak için Popcorn Time Ransomware'in kolay akışını sağlamaya karar verdiler. Ya da kurbanlara karşı biraz merhametli olmaya karar verdiler demeliyiz.
Son zamanlarda, MalwareHunterTeam tarafından Popcorn Time adlı başka bir Ransomware türü keşfedildi. Varyant, kullanıcılardan para sızdırmak için alışılmadık bir yola sahiptir. Bir kurban, yükü diğer iki kullanıcıya başarıyla iletirse, ücretsiz bir şifre çözme anahtarı alır. Belki de kurban, onu geçemezse ödemek zorunda kalacak. Daha da kötüsü, fidye yazılımında, kullanıcı 4 kez yanlış şifre çözme anahtarı girerse dosyaları silebilecek bitmemiş bir kod var.
Popcorn Time Ransomware hakkında şüpheli olan nedir
Suşun, diğer kullanıcılara iletmek için tutulan bir yönlendirme bağlantısı vardır. İlk kurban , diğer ikisi fidye ödediğinde şifre çözme anahtarını alır . Ancak, yapmazlarsa, birincil kurban ödemeyi yapmak zorundadır. Bleeping Computer, "Bunu kolaylaştırmak için, Popcorn Time fidye notu, fidye yazılımının TOR sunucusunda bulunan bir dosyaya işaret eden bir URL içerecektir. Şu anda sunucu çalışmıyor, bu yüzden insanları kandırmak için bu dosyanın nasıl görüneceği veya gizleneceği belli değil.”
Ayrıca, varyanta, kullanıcının 4 kez yanlış şifre çözme anahtarı koyması durumunda dosyaları silecek başka bir özellik eklenebilir. Görünüşe göre, Fidye Yazılımı hala geliştirme aşamasında ve bu yüzden bu taktiğin içinde zaten var mı yoksa sadece bir aldatmaca mı olduğu bilinmiyor.
Ayrıca Bakınız: Fidye Yazılım Yılı: Kısa Bir Özet
Popcorn Time Ransomware'in çalışmaları
Fidye Yazılımı başarıyla yüklendikten sonra, fidye yazılımının %AppData%\been_here ve %AppData%\ server_step_one gibi birkaç dosya aracılığıyla zaten çalıştırılıp çalıştırılmadığını kontrol eder . Sisteme zaten Fidye Yazılımı bulaşmışsa, zorlama kendini sonlandırır. Popcorn Time, sistem 'been_here' dosyasına sahipse bunu anlar. Bir bilgisayarda böyle bir dosya yoksa, fidye yazılımı kötülüğü yaymaya devam eder. Arka plan olarak kullanmak veya şifreleme işlemini başlatmak için çeşitli görüntüleri indirir.
Popcorn Time hala geliştirme aşamasında olduğundan, yalnızca Efiles adlı bir test klasörünü şifreler . Bu klasör, kullanıcıların masaüstünde bulunur ve .back, .backup, .ach vb. gibi çeşitli dosyaları içerir (dosya uzantılarının tam listesi aşağıda verilmiştir).
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp
Bundan sonra, fidye yazılımı belirli uzantılarla eşleşen dosyaları arar ve dosyaları AES-256 şifrelemesiyle şifrelemeye başlar. Bir dosya Popcorn Time ile şifrelendiğinde, uzantısı olarak .filock'u ekler. Örneğin, bir dosya adı 'abc.docx' ise, 'abc.docx.filock' olarak değiştirilir. Enfeksiyon başarılı bir şekilde gerçekleştirildiğinde, iki base64 dizesini dönüştürür ve bunları restore_your_files.html ve restore_your_files.txt adlı fidye notları olarak kaydeder . Bundan sonra, fidye yazılımı HTML fidye notu gösterir.
görüntü kaynağı: bleepingcomputer.com
Fidye Yazılımlarına Karşı Koruma
Şimdiye kadar, kullanıcıya bulaştıktan sonra yardımcı olabilecek herhangi bir dedektör veya fidye yazılımı kaldırıcı geliştirilmemiş olsa da, kullanıcıların fidye yazılımı saldırısından kaçınmak için önlem almaları önerilir . Her şeyden önce verilerinizin yedeğini almaktır . Ardından, internette güvenli gezinmeyi sağlayabilir, reklam engelleme uzantısını etkinleştirebilir, özgün bir kötü amaçlı yazılımdan koruma aracı tutabilir ve ayrıca sisteminizde yüklü olan yazılımları, araçları, uygulamaları ve programları zamanında güncelleyebilirsiniz. Görünüşe göre, bunun için güvenilir araçlara güvenmeniz gerekiyor. Böyle bir araç, bir bulut depolama çözümü olan Right Backup'tır . 256 bit AES şifreleme ile verilerinizi bulut güvenliğine kaydetmenize yardımcı olur .