Onko Popcorn Time Ransomware armollinen vai onko se vain huijausta?

Huolimatta lukemattomista Ransomware- kannoista, joissa on loputtomia hyökkäyksiä, Ransomware-kirjoittajat näyttävät aikoneen pelotella käyttäjiä uudemmilla taktiikoilla.

Olemme jo saaneet Ransomware-kantoja, jotka poistaisivat tiedostoja, jos lunnaita ei makseta säädetyssä määräajassa. Lisäksi on olemassa muunnelmia, jotka lukitsevat käyttäjän tiedot muuttamalla tiedoston nimeä, mikä tekee salauksen purkamisesta entistä vaikeampaa. Tällä kertaa Ransomwaren kirjoittajat päättivät kuitenkin varmistaa Popcorn Time Ransomwaren helpon kulun vähentääkseen vaivaa. Tai meidän pitäisi sanoa, että he ovat päättäneet olla hieman armollisia uhreja kohtaan.

MalwareHunterTeam löysi äskettäin toisen Ransomware-kannan nimeltä Popcorn Time. Variantilla on epätavallinen tapa kiristää rahaa käyttäjiltä. Jos uhri siirtyy onnistuneesti kahdelle muulle käyttäjälle, hän saisi ilmaisen salauksenpurkuavaimen. Ehkä uhrin on maksettava, jos hän ei voi siirtää sitä. Asiaa pahentaa entisestään se, että kiristysohjelmassa on keskeneräinen koodi, joka saattaa poistaa tiedostoja, jos käyttäjä syöttää väärän salauksenpurkuavaimen 4 kertaa.

Mitä hämmentävää Popcorn Time Ransomwaressa on?

Kannalla on viittauslinkki, jota säilytetään sen välittämiseksi muille käyttäjille. Alkuperäinen uhri saa salauksen purkuavaimen, kun kaksi muuta ovat maksaneet lunnaita. Mutta jos he eivät, ensisijaisen uhrin on suoritettava maksu. Bleeping Computer lainaa: "Tämän helpottamiseksi Popcorn Time -lunnasilmoitus sisältää URL-osoitteen, joka osoittaa ransomwaren TOR-palvelimella olevaan tiedostoon. Tällä hetkellä palvelin on poissa käytöstä, joten ei ole varmaa, kuinka tämä tiedosto tulee näkyviin tai naamioituu, jotta ihmiset huijattaisiin asentamaan se."

Lisäksi varianttiin voidaan lisätä toinen ominaisuus, joka poistaisi tiedostoja, jos käyttäjä sattuu asettamaan väärän salauksenpurkuavaimen 4 kertaa. Ilmeisesti Ransomware on vielä kehitysvaiheessa, joten ei tiedetä, onko tämä taktiikka jo olemassa vai onko se vain huijausta.

Katso myös:  Ransomwaren vuosi: Lyhyt yhteenveto

Popcorn Time Ransomwaren toiminta

Kun Ransomware on asennettu onnistuneesti, se tarkistaa, onko kiristysohjelma jo suoritettu useiden tiedostojen, kuten %AppData%\been_here ja %AppData%\server_step_one kautta . Jos järjestelmä on jo saanut Ransomware-tartunnan, kanta lopettaa itsensä. Popcorn Time ymmärtää tämän, jos järjestelmässä on "been_here" -tiedosto. Jos tällaista tiedostoa ei poistu tietokoneesta, kiristysohjelma levittää pahuutta. Se lataa erilaisia ​​kuvia käytettäväksi taustana tai käynnistää salausprosessin.

Koska Popcorn Time on vielä kehitysvaiheessa, se salaa vain testikansion nimeltä Efiles . Tämä kansio on olemassa käyttäjien työpöydällä ja sisältää erilaisia ​​tiedostoja, kuten .back, .backup, .ach jne. (koko luettelo tiedostopäätteistä on alla).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Tämän jälkeen lunnasohjelma etsii tiedostoja, jotka vastaavat tiettyjä laajennuksia, ja alkaa salata tiedostoja AES-256-salauksella. Kun tiedosto on salattu Popcorn Time -ohjelmalla, se lisää .filock-tunnisteen. Esimerkiksi jos tiedoston nimi on "abc.docx", se muutetaan muotoon "abc.docx.filock". Kun tartunta on suoritettu onnistuneesti, se muuntaa kaksi base64-merkkijonoa ja tallentaa ne lunnasmuistiinpanoina, joita kutsutaan nimellä restore_your_files.html ja restore_your_files.txt . Tämän jälkeen kiristysohjelmassa on HTML-lunnasilmoitus.

Kuvan lähde: bleepingcomputer.com

Suojaus Ransomwarea vastaan

Vaikka toistaiseksi ei ole kehitetty ilmaisinta tai kiristysohjelmien poistoa, joka auttaisi käyttäjää sen jälkeen, kun se on saanut tartunnan, käyttäjiä suositellaan kuitenkin ryhtymään varotoimenpiteisiin kiristysohjelmien hyökkäyksen välttämiseksi . Kaikkein tärkeintä on tiedoistasi varmuuskopiointi . Myöhemmin voit myös varmistaa turvallisen surffaamisen Internetissä, ottaa käyttöön mainoslohkon laajennuksen, säilyttää aidon haittaohjelmien torjuntatyökalun sekä päivittää järjestelmääsi asennettuja ohjelmistoja, työkaluja, sovelluksia ja ohjelmia ajoissa. Ilmeisesti sinun täytyy luottaa luotettaviin työkaluihin samaan. Yksi tällainen työkalu on Right Backup, joka on pilvitallennusratkaisu . Se auttaa sinua tallentamaan tietosi pilvitietoturvaan 256-bittisellä AES-salauksella.