Ali je programska oprema Popcorn Time Ransomware usmiljena ali je le prevara?

Kljub neštetim sevom Ransomware z neskončnimi napadi, se zdi, da so avtorji Ransomware načrtovali prestrašiti uporabnike z novejšimi taktikami.

Prejeli smo že seve Ransomware, ki bi izbrisali datoteke, če odkupnina ne bo plačana v predpisanem roku. Poleg tega obstajajo različice, ki zaklenejo uporabniške podatke s spremembo imena datoteke, zaradi česar je dešifriranje še težje. Toda tokrat so se avtorji programske opreme Ransomware odločili, da bodo zagotovili enostaven pretok programske opreme Popcorn Time Ransomware, da bi zmanjšali svoj trud. Ali pa bi morali reči, da so se odločili biti malo usmiljeni do žrtev.

Pred kratkim je MalwareHunterTeam odkril še en sev Ransomware, imenovan Popcorn Time. Različica ima nenavaden način izsiljevanja denarja od uporabnikov. Če žrtev uspešno prenese napetost na dva druga uporabnika, bi prejela brezplačen ključ za dešifriranje. Morda bo morala žrtev plačati, če je ne bo mogla prenesti. Da bi bilo še huje, je v ransomware nedokončana koda, ki lahko izbriše datoteke, če uporabnik 4-krat vnese napačen ključ za dešifriranje.

Kaj je spornega glede programske opreme Popcorn Time Ransomware

Sev ima napotitveno povezavo, ki se hrani, da jo posreduje drugim uporabnikom. Prvotna žrtev prejme ključ za dešifriranje, ko nadaljnja dva plačata odkupnino. Če pa tega ne storijo, mora plačati primarna žrtev. Bleeping Computer citira: »Da bi to olajšali, bo opomba o odkupnini Popcorn Time vsebovala URL, ki kaže na datoteko, ki se nahaja na strežniku TOR izsiljevalske programske opreme. Trenutno strežnik ne deluje, zato ni jasno, kako bo ta datoteka prikazana ali prikrita, da bi ljudi prelisičil, da jo namestijo.

Poleg tega se lahko različici doda še ena funkcija, ki bi izbrisala datoteke, če uporabnik 4-krat vnese napačen ključ za dešifriranje. Očitno je Ransomware še vedno v fazi razvoja in zato ni znano, ali ta taktika v njem že obstaja ali je le prevara.

Glejte tudi:  Leto Ransomware: Kratek povzetek

Popcorn Time Ransomware deluje

Ko je izsiljevalska programska oprema uspešno nameščena, preveri, ali je bila izsiljevalska programska oprema že zagnana prek več datotek, kot sta %AppData%\been_here in %AppData%\server_step_one . Če je bil sistem že okužen z Ransomware, se sev prekine sam. Popcorn Time to razume, če ima sistem datoteko 'been_here'. Če nobena taka datoteka ne zapusti računalnika, izsiljevalska programska oprema širi zlobnost. Prenese različne slike, ki jih lahko uporabi kot ozadje ali začne postopek šifriranja.

Ker je Popcorn Time še vedno v fazi razvoja, šifrira samo testno mapo z imenom Efile . Ta mapa obstaja na namizju uporabnikov in vsebuje različne datoteke, kot so .back, .backup, .ach itd. (celoten seznam razširitev datotek je naveden spodaj).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Nato ransomware poišče datoteke, ki se ujemajo z določenimi končnicami, in začne šifrirati datoteke s šifriranjem AES-256. Ko je datoteka šifrirana s Popcorn Time, doda .filock kot svojo razširitev. Če je na primer ime datoteke 'abc.docx', bi se spremenilo v 'abc.docx.filock'. Ko je okužba uspešno izvedena, pretvori dva niza base64 in ju shrani kot opombe z odkupnino, imenovane restore_your_files.html in restore_your_files.txt . Nato odkupniška programska oprema prikaže opombo o odkupnini HTML.

vir slike: bleepingcomputer.com

Zaščita pred Ransomware

Čeprav do zdaj ni bil razvit noben detektor ali odstranjevalec izsiljevalske programske opreme, ki bi lahko pomagal uporabnikom, potem ko so bili z njim okuženi, pa uporabnikom priporočamo, da sprejmejo previdnostne ukrepe, da se izognejo napadu izsiljevalske programske opreme . Predvsem med vsemi je varnostno kopiranje vaših podatkov . Nato lahko zagotovite tudi varno brskanje po internetu, omogočite razširitev za blokiranje oglasov, ohranite pristno orodje proti zlonamerni programski opremi in tudi pravočasno posodabljate programsko opremo, orodja, aplikacije in programe, nameščene v vašem sistemu. Očitno se morate zanašati na zanesljiva orodja za isto. Eno takšnih orodij je Right Backup, ki je rešitev za shranjevanje v oblaku . Pomaga vam shraniti svoje podatke na varnost v oblaku z 256-bitnim šifriranjem AES.