Ar Popcorn Time Ransomware tampa gailestinga, ar tai tik apgaulė?

Nepaisant daugybės „ Ransomware“ padermių su nesibaigiančiais išpuoliais, „Ransomware“ autoriai, atrodo, planavo išgąsdinti vartotojus naujesnėmis taktikomis.

Jau gavome Ransomware padermių, kurios ištrintų failus, jei išpirka nesumokėta per nustatytą laiką. Be to, yra variantų, kurie užrakina vartotojo duomenis pakeisdami failo pavadinimą, todėl iššifravimas dar labiau apsunkinamas. Tačiau šį kartą Ransomware autoriai nusprendė užtikrinti lengvą Popcorn Time Ransomware srautą, kad sumažintų savo pastangas. Arba turėtume pasakyti, jie nusprendė būti šiek tiek gailestingi aukoms.

Neseniai „MalwareHunterTeam“ aptiko kitą „Ransomware“ padermę, pavadintą „Popcorn Time“. Variantas turi neįprastą būdą išvilioti pinigus iš vartotojų. Jei auka sėkmingai perduoda įtampą dviem kitiems vartotojams, jis gaus nemokamą iššifravimo raktą. Galbūt auka turės susimokėti, jei negalės jos perduoti. Kad būtų dar blogiau, išpirkos programoje yra nebaigtas kodas, kuris gali ištrinti failus, jei vartotojas 4 kartus įves neteisingą iššifravimo raktą.

Kas keblus Popcorn Time Ransomware

Padermė turi nukreipimo nuorodą, kuri saugoma, kad ją būtų galima perduoti kitiems vartotojams. Pirminė auka gauna iššifravimo raktą, kai kitos dvi sumokėjo išpirką. Bet jei ne, tada pagrindinė auka turi sumokėti. „Bleeping Computer“ cituoja: „Siekiant tai palengvinti, Popcorn Time išpirkos rašte bus URL, nukreipiantis į failą, esantį išpirkos reikalaujančios programos TOR serveryje. Šiuo metu serveris neveikia, todėl nežinome, kaip šis failas pasirodys arba bus užmaskuotas, siekiant apgauti žmones jį įdiegti.

Be to, prie varianto gali būti pridėta dar viena funkcija, kuri ištrintų failus, jei vartotojas 4 kartus pateiktų neteisingą iššifravimo raktą. Matyt, Ransomware vis dar yra kūrimo stadijoje, todėl nežinia, ar tokia taktika jau egzistuoja, ar tai tik apgaulė.

Taip pat žiūrėkite:  Ransomware metai: trumpa santrauka

Popcorn Time Ransomware veikimas

Sėkmingai įdiegus Ransomware , ji patikrina, ar išpirkos reikalaujanti programa jau buvo paleista per kelis failus, pvz., %AppData%\been_here ir %AppData%\server_step_one . Jei sistema jau buvo užkrėsta Ransomware, tada padermė nutrūksta. Popcorn Time tai supranta, jei sistemoje yra failas „buvo_čia“. Jei toks failas neišeina iš kompiuterio, išpirkos reikalaujanti programa toliau platina piktybiškumą. Ji atsisiunčia įvairius vaizdus, ​​​​kad juos būtų galima naudoti kaip foną arba pradėti šifravimo procesą.

Kadangi „Popcorn Time“ vis dar kuriama, jis užšifruoja tik bandomąjį aplanką „ Efiles“ . Šis aplankas yra vartotojų darbalaukyje ir jame yra įvairių failų, tokių kaip .back, .backup, .ach ir tt (visas failų plėtinių sąrašas pateiktas žemiau).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Po to išpirkos reikalaujanti programa ieško failų, atitinkančių tam tikrus plėtinius, ir pradeda šifruoti failus su AES-256 šifravimu. Kai failas yra užšifruotas naudojant Popcorn Time, jis prideda .filock kaip plėtinį. Pavyzdžiui, jei failo pavadinimas yra „abc.docx“, jis bus pakeistas į „abc.docx.filock“. Sėkmingai užsikrėtus, ji konvertuoja dvi „base64“ eilutes ir išsaugo jas kaip išpirkos užrašus, vadinamus restore_your_files.html ir restore_your_files.txt . Po to išpirkos reikalaujančioje programoje yra HTML išpirkos užrašas.

Vaizdo šaltinis: bleepingcomputer.com

Apsauga nuo Ransomware

Nors iki šiol nebuvo sukurtas joks detektorius ar išpirkos programų šalinimo priemonė, kuri galėtų padėti vartotojui jais užsikrėtus, tačiau vartotojams rekomenduojama imtis atsargumo priemonių, kad išvengtumėte išpirkos reikalaujančių programų atakų . Svarbiausias dalykas yra pasidaryti atsarginę duomenų kopiją . Vėliau taip pat galite užtikrinti saugų naršymą internete, įjungti skelbimų bloko išplėtimą, išlaikyti autentišką kovos su kenkėjiškomis programomis įrankį ir taip pat laiku atnaujinti jūsų sistemoje įdiegtą programinę įrangą, įrankius, programas ir programas. Matyt, tam reikia pasikliauti patikimomis priemonėmis. Vienas iš tokių įrankių yra „Right Backup“, kuris yra debesies saugyklos sprendimas . Tai padeda išsaugoti debesies saugos duomenis naudojant 256 bitų AES šifravimą.