Er Popcorn Time Ransomware að verða miskunnsamur eða er það bara gabb?

Þrátt fyrir að það hafi verið óteljandi Ransomware stofnar með endalausum árásum, virðast Ransomware höfundar hafa ætlað að hræða notendur með nýrri aðferðum.

Við höfum þegar fengið Ransomware stofna sem myndu eyða skrám ef lausnargjald er ekki greitt innan tilskilins tímamarka. Ennfremur eru til afbrigði sem læsa gögnum notanda með því að breyta skráarnafni, sem gerir afkóðun enn erfiðari. Hins vegar að þessu sinni ákváðu Ransomware höfundar að tryggja auðvelt flæði Popcorn Time Ransomware til að draga úr fyrirhöfn þeirra. Eða við ættum að segja, þeir hafa ákveðið að vera svolítið miskunnsamir við fórnarlömb.

Nýlega var annar Ransomware stofn sem heitir Popcorn Time uppgötvaður af MalwareHunterTeam. Afbrigðið hefur óvenjulega leið til að kúga peninga frá notendum. Ef fórnarlambið fer yfir álagið til tveggja annarra notenda, myndi hann fá ókeypis afkóðunarlykil. Kannski þarf fórnarlambið að borga ef hann getur ekki framhjá því farið. Til að gera það enn verra er ókláraður kóði í lausnarhugbúnaðinum sem gæti eytt skrám ef notandinn slær inn rangan afkóðunarlykil 4 sinnum.

Hvað er pirrandi við Popcorn Time Ransomware

Stofninn hefur tilvísunartengil sem er geymdur til að senda hann til annarra notenda. Upprunalega fórnarlambið fær afkóðunarlykilinn þegar hinir tveir til viðbótar hafa greitt lausnargjald. En ef þeir gera það ekki þá verður aðal fórnarlambið að greiða. Bleeping Computer vitnar í: „Til að auðvelda þetta mun Popcorn Time lausnargjaldsseðillinn innihalda vefslóð sem vísar á skrá sem staðsett er á TOR þjóninum lausnarhugbúnaðarins. Á þessum tíma er þjónninn niðri, svo það er óvíst hvernig þessi skrá mun birtast eða vera dulbúin til að plata fólk til að setja hana upp.“

Ennfremur gæti annar eiginleiki verið bætt við afbrigðið sem myndi eyða skrám ef notandi skyldi setja upp rangan afkóðunarlykil 4 sinnum. Svo virðist sem Ransomware er enn á þróunarstigi og því er ekki vitað hvort þessi taktík sé þegar til í honum eða að þetta sé bara gabb.

Sjá einnig:  Year of Ransomware: A Brief Recap

Virkni Popcorn Time Ransomware

Þegar lausnarhugbúnaðurinn hefur verið settur upp, athugar hann hvort lausnarhugbúnaðurinn hafi þegar verið keyrður í gegnum nokkrar skrár eins og %AppData%\been_here og %AppData%\server_step_one . Ef kerfið hefur þegar verið sýkt af Ransomware, þá lýkur stofninn af sjálfu sér. Popcorn Time skilur þetta ef kerfið hefur 'been_here' skrá. Ef engin slík skrá kemur út í tölvu heldur lausnarhugbúnaðurinn áfram að dreifa illskunni. Það hleður niður ýmsum myndum til að nota sem bakgrunn eða hefja dulkóðunarferlið.

Þar sem Popcorn Time er enn á þróunarstigi, dulkóðar það aðeins prófamöppu sem heitir Efiles . Þessi mappa er til á skjáborði notenda og inniheldur ýmsar skrár eins og .back, .backup, .ach o.s.frv. (allur listi yfir skráarendingar er að neðan).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Síðan leitar lausnarhugbúnaðurinn að skrám sem passa við ákveðnar viðbætur og byrjar að dulkóða skrár með AES-256 dulkóðun. Þegar skrá hefur verið dulkóðuð með Popcorn Time, bætir hún við .filock sem endingu. Til dæmis ef skráarheiti er 'abc.docx' þá yrði því breytt í 'abc.docx.filock'. Þegar sýkingin hefur tekist, breytir hún tveimur base64 strengjum og vistar þá sem lausnargjaldsseðla sem kallast restore_your_files.html og restore_your_files.txt . Síðan sýnir lausnarhugbúnaðurinn HTML lausnargjaldsseðil.

Uppruni myndar: bleepingcomputer.com

Vörn gegn lausnarhugbúnaði

Þó að enginn skynjari eða lausnarhugbúnaður hafi verið þróaður fyrr en nú sem getur hjálpað notanda eftir að hafa smitast af því, er þó mælt með því að notendur grípi til varúðarráðstafana til að forðast árás lausnarhugbúnaðar . Fyrst af öllu er að taka öryggisafrit af gögnunum þínum . Í kjölfarið geturðu einnig tryggt örugga brimbrettabrun á internetinu, virkjað viðbót við auglýsingablokkun, haldið ekta tóli gegn spilliforritum og einnig uppfært hugbúnað, verkfæri, öpp og forrit uppsett á vélinni þinni tímanlega. Svo virðist sem þú þarft að treysta á áreiðanleg verkfæri fyrir það sama. Eitt slíkt tól er Right Backup sem er skýgeymslulausn . Það hjálpar þér að vista gögnin þín á skýjaöryggi með 256 bita AES dulkóðun.