Mặc dù đã có vô số chủng Ransomware với các cuộc tấn công vô tận, các tác giả của Ransomware dường như đã lên kế hoạch để hù dọa người dùng bằng các chiến thuật mới hơn.
Chúng tôi đã nhận được các chủng Ransomware sẽ xóa tệp nếu tiền chuộc không được trả trong thời hạn quy định. Hơn nữa, có những biến thể khóa dữ liệu của người dùng bằng cách thay đổi tên tệp, khiến việc giải mã thậm chí còn khó hơn. Tuy nhiên lần này, các tác giả của Ransomware đã quyết định đảm bảo dòng chảy dễ dàng của Popcorn Time Ransomware để giảm bớt công sức của họ. Hoặc chúng ta nên nói, họ đã quyết định có một chút thương xót đối với các nạn nhân.
Mới đây, một chủng Ransomware khác có tên Popcorn Time đã được MalwareHunterTeam phát hiện. Biến thể có một cách bất thường để moi tiền từ người dùng. Nếu một nạn nhân vượt qua sự căng thẳng thành công cho hai người dùng khác, anh ta sẽ nhận được một khóa giải mã miễn phí. Có lẽ, nạn nhân sẽ phải trả giá nếu không thể vượt qua. Tệ hơn nữa, có một đoạn mã chưa hoàn thành trong ransomware có thể xóa các tệp nếu người dùng nhập sai khóa giải mã 4 lần.
Có gì thú vị về Popcorn Time Ransomware
Chủng có một liên kết giới thiệu được giữ lại để truyền nó cho những người dùng khác. Nạn nhân ban đầu nhận được chìa khóa giải mã khi hai người khác đã trả tiền chuộc. Nhưng, nếu họ không làm vậy thì nạn nhân chính phải thanh toán. Bleeping Computer trích dẫn, “Để tạo điều kiện thuận lợi cho việc này, thông báo tiền chuộc Popcorn Time sẽ chứa một URL trỏ đến một tệp nằm trên máy chủ TOR của ransomware. Lúc này máy chủ bị sự cố nên không rõ tập tin này sẽ xuất hiện như thế nào hay được ngụy trang để lừa người dân cài vào ”.
Hơn nữa, một tính năng khác có thể được thêm vào biến thể sẽ xóa tệp nếu người dùng tình cờ nhập sai khóa giải mã 4 lần. Rõ ràng, Ransomware vẫn đang trong giai đoạn phát triển và vì vậy không biết liệu chiến thuật này đã tồn tại trong đó hay chỉ là một trò lừa bịp.
Xem thêm: Năm của Ransomware: Bản tóm tắt ngắn gọn
Popcorn Time Ransomware hoạt động
Sau khi cài đặt thành công Ransomware, nó sẽ kiểm tra xem ransomware đã được chạy chưa qua một số tệp như % AppData% \ be_here và % AppData% \ server_step_one . Nếu hệ thống đã bị nhiễm Ransomware, thì chủng này sẽ tự kết thúc. Popcorn Time hiểu điều này nếu hệ thống có tệp 'be_here'. Nếu không có tệp nào như vậy thoát khỏi máy tính, thì ransomware sẽ tiếp tục lây lan sự ác độc. Nó tải xuống các hình ảnh khác nhau để sử dụng làm hình nền hoặc bắt đầu quá trình mã hóa.
Vì Popcorn Time vẫn đang trong giai đoạn phát triển nên nó chỉ mã hóa một thư mục thử nghiệm có tên là Efiles . Thư mục này tồn tại trên màn hình của người dùng và chứa nhiều tệp khác nhau như .back, .backup, .ach, v.v. (toàn bộ danh sách các phần mở rộng tệp được đưa ra bên dưới).
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp
Sau đó, ransomware sẽ tìm kiếm các tệp phù hợp với các phần mở rộng nhất định và bắt đầu mã hóa các tệp bằng mã hóa AES-256. Khi một tệp được mã hóa bằng Popcorn Time, nó sẽ thêm .filock làm phần mở rộng của nó. Ví dụ: nếu tên tệp là 'abc.docx' thì nó sẽ được đổi thành 'abc.docx.filock'. Khi quá trình lây nhiễm được thực hiện thành công, nó sẽ chuyển đổi hai chuỗi base64 và lưu chúng dưới dạng ghi chú đòi tiền chuộc được gọi là restore_your_files.html và restore_your_files.txt . Sau đó, ransomware hiển thị ghi chú tiền chuộc HTML.
nguồn ảnh: bleepingcomputer.com
Bảo vệ chống lại Ransomware
Mặc dù chưa có trình phát hiện hoặc loại bỏ ransomware nào được phát triển cho đến nay có thể giúp người dùng sau khi đã bị nhiễm nó, tuy nhiên, người dùng nên thực hiện các biện pháp phòng ngừa để tránh bị ransomware tấn công . Trước hết là sao lưu dữ liệu của bạn . Sau đó, bạn cũng có thể đảm bảo lướt web an toàn, bật tiện ích mở rộng khối quảng cáo, giữ một công cụ chống phần mềm độc hại đích thực và cũng có thể cập nhật kịp thời phần mềm, công cụ, ứng dụng và chương trình được cài đặt trên hệ thống của bạn. Rõ ràng, bạn cần phải dựa vào các công cụ đáng tin cậy cho cùng một. Một trong những công cụ đó là Right Backup, một giải pháp lưu trữ đám mây . Nó giúp bạn lưu dữ liệu của mình trên bảo mật đám mây với mã hóa AES 256-bit.
Lời nhắc luôn là điểm nổi bật chính của Google Home. Họ chắc chắn làm cho cuộc sống của chúng tôi dễ dàng hơn. Hãy cùng tìm hiểu nhanh về cách tạo lời nhắc trên Google Home để bạn không bao giờ bỏ lỡ việc làm việc vặt quan trọng.
Việc nhập câu trích dẫn yêu thích từ cuốn sách của bạn lên Facebook rất tốn thời gian và có nhiều lỗi. Tìm hiểu cách sử dụng Google Lens để sao chép văn bản từ sách sang thiết bị của bạn.
Đôi khi, khi đang làm việc trên Chrome, bạn không thể truy cập một số trang web nhất định và gặp lỗi “Fix Server DNS address could not be seek in Chrome”. Đây là cách bạn có thể giải quyết vấn đề.
Nếu bạn muốn loại bỏ thông báo Khôi phục trang trên Microsoft Edge, chỉ cần đóng trình duyệt hoặc nhấn phím Escape.
Nếu bạn không thể phát video Amazon Prime trên Microsoft Edge, hãy tắt tăng tốc phần cứng trong cài đặt trình duyệt của bạn.
Nếu bạn không thể đăng nhập vào YouTube, hãy kiểm tra xem trình duyệt của bạn có phải là nguyên nhân gây ra sự cố này hay không. Để khắc phục, hãy xóa bộ nhớ cache và tắt các tiện ích mở rộng của bạn.
Nếu bạn muốn Edge mở các liên kết từ kết quả tìm kiếm trong tab mới, bạn cần điều chỉnh cài đặt công cụ tìm kiếm của mình.
Nếu bạn đã mua một máy tính mới và bạn muốn chuyển dấu trang MS Edge của mình sang máy mới, bạn có thể sử dụng tùy chọn Đồng bộ hóa.
Nếu màn hình tiếp tục tối đen khi phát video YouTube trên Edge, hãy xóa bộ nhớ cache, tắt các tiện ích mở rộng của bạn và cập nhật trình duyệt.
Nếu bạn không thể liên hệ với những người dùng Messenger khác, hãy đảm bảo rằng bạn không vi phạm các quy tắc cộng đồng của Facebook và kiểm tra kết nối của mình.
