Bliver Popcorn Time Ransomware nådig, eller er det bare en fup?

På trods af at der har været utallige Ransomware- stammer med endeløse angreb, ser Ransomware-forfattere ud til at have planlagt at skræmme brugere med nyere taktikker.

Vi har allerede modtaget Ransomware-stammer, der ville slette filer, hvis løsesum ikke betales inden for den foreskrevne tidsfrist. Yderligere er der varianter, der låser brugerens data ved at ændre filnavnet, hvilket gør dekryptering endnu sværere. Men denne gang besluttede Ransomware-forfattere at sikre let flow af Popcorn Time Ransomware for at reducere deres indsats. Eller vi skulle sige, de har besluttet at være lidt barmhjertige over for ofrene.

For nylig blev en anden Ransomware-stamme kaldet Popcorn Time opdaget af MalwareHunterTeam. Varianten har en usædvanlig måde at afpresse penge fra brugere på. Hvis et offer med succes overfører stammen til to andre brugere, ville han få en gratis dekrypteringsnøgle. Måske bliver offeret nødt til at betale, hvis han ikke er i stand til at overgive det. For at gøre det endnu værre, er der en ufærdig kode i ransomwaren, som kan slette filer, hvis brugeren indtaster en forkert dekrypteringsnøgle 4 gange.

Hvad er der frækt ved Popcorn Time Ransomware

Stammen har et henvisningslink, som opbevares for at overføre det til andre brugere. Det oprindelige offer får dekrypteringsnøglen, når de yderligere to har betalt løsesum. Men hvis de ikke gør det, skal det primære offer betale. Bleeping Computer citerer: "For at lette dette, vil Popcorn Time løsesumsedlen indeholde en URL, der peger på en fil, der er placeret på ransomwarens TOR-server. På nuværende tidspunkt er serveren nede, så det er usikkert, hvordan denne fil vil se ud eller være forklædt for at narre folk til at installere den."

Yderligere kan der tilføjes en anden funktion til varianten, som ville slette filer, hvis brugeren tilfældigvis sætter en forkert dekrypteringsnøgle op 4 gange. Tilsyneladende er Ransomware stadig i udviklingsstadiet, og det er derfor uvist, om denne taktik allerede findes i den, eller om det bare er en fup.

Se også:  Year of Ransomware: A Brief Recap

Popcorn Time Ransomwares funktion

Når ransomwaren er installeret korrekt, tjekker den, om ransomwaren allerede er blevet kørt via flere filer såsom %AppData%\been_here og %AppData%\server_step_one . Hvis systemet allerede er blevet inficeret med Ransomware, afslutter stammen sig selv. Popcorn Time forstår dette, hvis systemet har 'been_here'-fil. Hvis ingen sådan fil forlader en computer, fortsætter ransomwaren med at sprede ondskaben. Det downloader forskellige billeder for at bruge som baggrunde eller starte krypteringsprocessen.

Da Popcorn Time stadig er i udviklingsstadiet, krypterer den kun en testmappe kaldet Efiles . Denne mappe findes på brugernes skrivebord og indeholder forskellige filer såsom .back, .backup, .ach osv. (hele listen over filtypenavne er angivet nedenfor).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Derefter leder ransomwaren efter filer, der matcher de bestemte udvidelser, og begynder at kryptere filer med AES-256-kryptering. Når en fil er krypteret med Popcorn Time, tilføjer den .filock som sin udvidelse. Hvis f.eks. et filnavn er 'abc.docx', vil det blive ændret til 'abc.docx.filock'. Når infektionen er gennemført med succes, konverterer den to base64-strenge og gemmer dem som løsesumsedler kaldet restore_your_files.html og restore_your_files.txt . Derefter udviser ransomware en HTML løsesum note.

billedkilde: bleepingcomputer.com

Beskyttelse mod ransomware

Selvom der indtil nu ikke er udviklet nogen detektor eller ransomwarefjerner, der kan hjælpe brugeren efter at være blevet inficeret med det, anbefales det dog, at brugere tager forholdsregler for at undgå ransomware-angreb . Først og fremmest er det at tage backup af dine data . Efterfølgende kan du også sikre sikker surfing på internettet, aktivere udvidelse af annonceblokering, beholde et autentisk anti-malware-værktøj og også rettidig opdatere software, værktøjer, apps og programmer installeret på dit system. Tilsyneladende skal du stole på pålidelige værktøjer til det samme. Et sådant værktøj er Right Backup, som er en cloud storage-løsning . Det hjælper dig med at gemme dine data på cloud-sikkerhed med 256-bit AES-kryptering.