Blir Popcorn Time Ransomware nådig, eller er det bare en bløff?

Til tross for at det har vært utallige Ransomware- stammer med endeløse angrep, ser Ransomware-forfattere ut til å ha planlagt å skremme brukere med nyere taktikker.

Vi har allerede mottatt Ransomware-stammer som ville slette filer hvis løsepenger ikke betales innen den foreskrevne fristen. Videre er det varianter som låser brukerens data ved å endre filnavnet, noe som gjør dekryptering enda vanskeligere. Men denne gangen bestemte Ransomware-forfattere seg for å sikre enkel flyt av Popcorn Time Ransomware for å redusere innsatsen deres. Eller vi burde si, de har bestemt seg for å være litt barmhjertige mot ofre.

Nylig ble en annen Ransomware-stamme kalt Popcorn Time oppdaget av MalwareHunterTeam. Varianten har en uvanlig måte å presse penger fra brukere på. Hvis et offer lykkes med å overføre belastningen til to andre brukere, vil han få en gratis dekrypteringsnøkkel. Kanskje vil offeret måtte betale hvis han ikke klarer å gi det over. For å gjøre det enda verre, er det en uferdig kode i løsepengevaren som kan slette filer hvis brukeren skriver inn feil dekrypteringsnøkkel 4 ganger.

Hva er fishy med Popcorn Time Ransomware

Stammen har en henvisningslenke som beholdes for å overføre den til andre brukere. Det opprinnelige offeret får dekrypteringsnøkkelen når de to andre har betalt løsepenger. Men hvis de ikke gjør det, må det primære offeret betale. Bleeping Computer siterer: "For å lette dette, vil Popcorn Time løsepengenotatet inneholde en URL som peker til en fil som ligger på løsepengevarens TOR-server. For øyeblikket er serveren nede, så det er usikkert hvordan denne filen vil vises eller være forkledd for å lure folk til å installere den.»

Videre kan en annen funksjon legges til varianten som vil slette filer hvis brukeren tilfeldigvis legger opp feil dekrypteringsnøkkel 4 ganger. Tilsynelatende er Ransomware fortsatt i utviklingsstadiet, så det er ukjent om denne taktikken allerede eksisterer i den, eller om det bare er en bløff.

Se også:  Year of Ransomware: A Brief Recap

Popcorn Time Ransomware fungerer

Når løsepengevaren er installert, sjekker den om løsepengevaren allerede har blitt kjørt via flere filer som %AppData%\been_here og %AppData%\server_step_one . Hvis systemet allerede er infisert med ransomware, avsluttes belastningen av seg selv. Popcorn Time forstår dette hvis systemet har 'been_here'-fil. Hvis ingen slik fil går ut på en datamaskin, fortsetter løsepengevaren å spre ondskapen. Den laster ned forskjellige bilder for å bruke som bakgrunn eller starte krypteringsprosessen.

Siden Popcorn Time fortsatt er i utviklingsstadiet, krypterer den bare en testmappe kalt Efiles . Denne mappen finnes på skrivebordet til brukere og inneholder forskjellige filer som .back, .backup, .ach, etc. (hele listen over filutvidelser er gitt nedenfor).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Deretter ser løsepengevaren etter filer som samsvarer med visse utvidelser og begynner å kryptere filer med AES-256-kryptering. Når en fil er kryptert med Popcorn Time, legger den til .filock som utvidelse. Hvis for eksempel et filnavn er 'abc.docx', vil det bli endret til 'abc.docx.filock'. Når infeksjonen er vellykket, konverterer den to base64-strenger og lagrer dem som løsepenger kalt restore_your_files.html og restore_your_files.txt . Deretter viser løsepengevaren HTML løsepengenotat.

bildekilde: bleepingcomputer.com

Beskyttelse mot løsepengevare

Selv om det ikke har blitt utviklet noen detektor eller løsepengevarefjerner før nå som kan hjelpe brukeren etter å ha blitt infisert med den, anbefales imidlertid brukere å ta forholdsregler for å unngå løsepengevareangrep . Fremst av alt er å ta sikkerhetskopi av dataene dine . Deretter kan du også sikre sikker surfing på internett, aktivere utvidelse av annonseblokkering, beholde et autentisk anti-malware-verktøy og også oppdatere programvare, verktøy, apper og programmer installert på systemet ditt. Tilsynelatende må du stole på pålitelige verktøy for det samme. Et slikt verktøy er Right Backup som er en skylagringsløsning . Det hjelper deg med å lagre dataene dine på skysikkerhet med 256-biters AES-kryptering.