Попцорн Тиме Рансомваре постаје милосрдан или је то само превара?

Упркос томе што је било безброј врста Рансомваре-а са бескрајним нападима, чини се да су аутори Рансомваре-а планирали да уплаше кориснике новијим тактикама.

Већ смо примили Рансомваре сојеве који би избрисали датотеке ако се откупнина не плати у прописаном року. Даље, постоје варијанте које закључавају корисничке податке променом назива датотеке, чинећи дешифровање још тежим. Међутим, овог пута, аутори Рансомваре-а су одлучили да обезбеде лак проток рансомвера за Попцорн Тиме како би смањили свој труд. Или бисмо требали рећи, одлучили су да буду мало милостиви према жртвама.

Недавно је МалвареХунтерТеам открио још један сој Рансомваре-а под називом Попцорн Тиме. Варијанта има необичан начин изнуђивања новца од корисника. Ако жртва успешно пренесе сој на друга два корисника, добиће бесплатан кључ за дешифровање. Можда ће жртва морати да плати ако не може да је пређе. Да буде још горе, постоји недовршени код у рансомверу који може избрисати датотеке ако корисник 4 пута унесе погрешан кључ за дешифровање.

Шта је сумњиво у вези са софтвером за рансомваре Попцорн Тиме

Сој има референтну везу која се чува да би је пренела другим корисницима. Оригинална жртва добија кључ за дешифровање када друге две плате откуп. Али, ако то не ураде, примарна жртва мора да плати. Блеепинг Цомпутер цитира: „Да би се ово олакшало, порука о откупнини у Попцорн Тиме-у ће садржати УРЛ који указује на датотеку која се налази на ТОР серверу рансомваре-а. У овом тренутку сервер не ради, тако да није сигурно како ће се ова датотека појавити или бити прикривена како би се људи преварили да је инсталирају.”

Даље, варијанти се може додати још једна функција која би избрисала датотеке ако се деси да корисник стави погрешан кључ за дешифровање 4 пута. Очигледно, Рансомваре је још увек у фази развоја и стога је непознато да ли ова тактика већ постоји у њему или је то само превара.

Такође погледајте:  Година Рансомваре-а: Кратак резиме

Попцорн Тиме Рансомваре функционише

Када је Рансомваре успешно инсталиран, проверава да ли је рансомваре већ покренут преко неколико датотека као што су %АппДата%\беен_хере и %АппДата%\сервер_степ_оне . Ако је систем већ био заражен Рансомваре-ом, сој се сам престаје. Попцорн Тиме разуме ово ако систем има датотеку 'беен_хере'. Ако таква датотека не изађе из рачунара, рансомваре наставља да шири зло. Он преузима различите слике које се користе као позадине или започињу процес шифровања.

Пошто је Попцорн Тиме још увек у фази развоја, шифрује само пробну фасциклу под називом Ефилес . Овај фолдер постоји на радној површини корисника и садржи различите датотеке као што су .бацк, .бацкуп, .ацх, итд. (цијела листа екстензија датотека је дата испод).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Након тога, рансомваре тражи датотеке које одговарају одређеним екстензијама и почиње да шифрује датотеке помоћу АЕС-256 енкрипције. Једном када је датотека шифрована помоћу Попцорн Тиме-а, она додаје .филоцк као своју екстензију. На пример, ако је име датотеке 'абц.доцк' онда би се променило у 'абц.доцк.филоцк'. Када се зараза успешно изведе, она конвертује два басе64 низа и чува их као белешке о откупнини под називом ресторе_иоур_филес.хтмл и ресторе_иоур_филес.ткт . Након тога, рансомваре показује ХТМЛ белешку о откупнини.

извор слике: блеепингцомпутер.цом

Заштита од рансомваре-а

Иако до сада није развијен детектор или алат за уклањање рансомваре-а који би могао помоћи кориснику након што се њиме зарази, корисницима се препоручује да предузму мере предострожности како би избегли напад рансомваре-а . Најважније од свега је да направите резервну копију ваших података . Након тога, такође можете да обезбедите безбедно сурфовање интернетом, омогућите проширење за блокирање огласа, задржите аутентични алат за заштиту од малвера и благовремено ажурирате софтвер, алате, апликације и програме инсталиране на вашем систему. Очигледно, морате се ослонити на поуздане алате за исто. Један такав алат је Ригхт Бацкуп који је решење за складиштење у облаку . Помаже вам да сачувате своје податке о безбедности у облаку помоћу 256-битне АЕС енкрипције.