Незважаючи на те, що існує незліченна кількість різновидів програм-вимагачів із нескінченними атаками, автори програм-вимагальників, схоже, планували налякати користувачів новою тактикою.
Ми вже отримали коди програм-вимагачів, які видаляють файли, якщо викуп не буде сплачений у встановлений термін. Крім того, існують варіанти, які блокують дані користувача, змінюючи ім’я файлу, що ускладнює розшифровку. Однак цього разу автори програм-вимагачів вирішили забезпечити легкий потік програм-вимагачів Popcorn Time, щоб зменшити свої зусилля. Або треба сказати, вони вирішили бути трохи милосердними до жертв.
Нещодавно MalwareHunterTeam виявив інший штам програм-вимагачів під назвою Popcorn Time. У варіанті є незвичайний спосіб вимагання грошей у користувачів. Якщо жертва успішно передає напругу двом іншим користувачам, вона отримає безкоштовний ключ дешифрування. Можливо, потерпілому доведеться заплатити, якщо він не зможе його передати. Що ще гірше, у програмі-вимагачі є незавершений код, який може видалити файли, якщо користувач 4 рази введе неправильний ключ дешифрування.
Що неприємного в програмі-вимагачі Popcorn Time
Штам має реферальне посилання, яке зберігається для передачі його іншим користувачам. Оригінальна жертва отримує ключ дешифрування, коли інші двоє заплатили викуп. Але якщо вони цього не зроблять, то платіж має здійснити основна жертва. Bleeping Computer цитує: «Щоб полегшити це, записка про викуп Popcorn Time міститиме URL-адресу, яка вказує на файл, розташований на сервері TOR вимагача. На даний момент сервер не працює, тому невідомо, як цей файл буде виглядати або замаскуватись, щоб обманом змусити людей встановити його».
Крім того, до варіанту може бути додана ще одна функція, яка видалятиме файли, якщо користувач 4 рази вводить неправильний ключ дешифрування. Очевидно, програма-вимагач все ще знаходиться на стадії розробки, і тому невідомо, чи ця тактика вже існує в ньому, чи це просто обман.
Дивіться також: Рік програм-вимагачів: короткий підсумок
Робота програми Popcorn Time Ransomware
Після успішного встановлення програми-вимагача він перевіряє, чи вже було запущено програму- вимагач за допомогою кількох файлів, таких як %AppData%\been_here та %AppData%\server_step_one . Якщо система вже була заражена програмою-вимагачем, штам припиняється. Popcorn Time розуміє це, якщо в системі є файл «been_here». Якщо такий файл не виходить на комп’ютері, програма-вимагач продовжує поширювати зло. Він завантажує різні зображення для використання в якості фону або запуску процесу шифрування.
Оскільки Popcorn Time все ще знаходиться на стадії розробки, він шифрує лише тестову папку під назвою Efiles . Ця папка існує на робочому столі користувачів і містить різні файли, такі як .back, .backup, .ach тощо (повний список розширень файлів наведено нижче).
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp
Після цього програма-вимагач шукає файли, які відповідають певним розширенням, і починає шифрувати файли за допомогою шифрування AES-256. Після того, як файл зашифровано за допомогою Popcorn Time, він додає .fillock як розширення. Наприклад, якщо ім’я файлу – 'abc.docx', воно буде змінено на 'abc.docx.fillock'. Коли зараження відбувається успішно, він перетворює два рядки base64 і зберігає їх як записки про викуп, які називаються restore_your_files.html і restore_your_files.txt . Після цього програма-викуп демонструє HTML-записку про викуп.
Джерело зображення: bleepingcomputer.com
Захист від програм-вимагачів
Хоча досі не було розроблено жодного детектора чи засобу для видалення програм-вимагачів, які могли б допомогти користувачам після зараження ними, однак користувачам рекомендується вживати запобіжних заходів, щоб уникнути атаки програм-вимагачів . Перш за все це зробити резервну копію ваших даних . Згодом ви також можете забезпечити безпечний серфінг в Інтернеті, увімкнути розширення для блокування реклами, зберегти справжній засіб захисту від шкідливих програм, а також своєчасно оновлювати програмне забезпечення, інструменти, програми та програми, встановлені у вашій системі. Очевидно, для цього потрібно покладатися на надійні інструменти. Одним з таких інструментів є Right Backup, який є рішенням хмарного сховища . Це допоможе вам зберегти ваші дані в хмарному безпеці за допомогою 256-бітного шифрування AES.
Набридло, що конфлікт синхронізації кількох профілів у Microsoft Edge псує вам роботу в Інтернеті? Дізнайтеся про покрокові рішення для вирішення помилок синхронізації, об’єднання профілів та безперебійної синхронізації на різних пристроях. Працює на останніх версіях Edge!
Втомилися від помилки призупинення облікового запису синхронізації Microsoft Edge, яка перериває роботу веб-переглядачів? Відкрийте для себе швидкі та ефективні кроки з усунення несправностей, щоб відновити безперебійну синхронізацію на всіх пристроях. Оновлено з останніми виправленнями для безпроблемної роботи з Edge.
Виправте надокучливу помилку «Нерозпізнаний диск» для ігор, сумісних зі зворотною сумісністю, на Xbox Series X|S. Скористайтеся нашими перевіреними покроковими інструкціями, щоб миттєво відновити свою бібліотеку класичних ігор.
Маєте проблеми з помилкою скидання PIN-коду Microsoft Edge Windows Hello? Дізнайтеся про покрокові способи її швидкого вирішення. Відновіть доступ до браузера без зайвих труднощів – оновлено до останніх оновлень Windows.
Маєте проблеми з порожнім білим екраном на початку роботи в Microsoft Edge? Дізнайтеся про покрокові рішення проблеми з порожнім білим екраном в Edge, від швидкого скидання налаштувань до складного ремонту. Поверніться до плавного перегляду веб-сторінок!
Покроковий посібник зі створення резервної копії даних Microsoft Edge, таких як закладки, паролі, історія та налаштування, перед скиданням системи. Захистіть свої важливі дані для перегляду за допомогою простих та надійних методів.
Застрягли з помилкою «Карта захоплення відео Microsoft Edge: немає сигналу, 60 кадрів/с»? Відкрийте для себе перевірені способи вирішення проблеми, щоб відновити сигнал, плавно досягати 60 кадрів/с і транслювати без затримок. Покроковий посібник для миттєвих результатів!
Втомилися від надокучливої помилки конфігурації Microsoft Edge Side-by-Side? Відкрийте для себе прості покрокові виправлення, щоб швидко вирішити її та відновити безперебійний перегляд. Оновлено найновішими рішеннями!
Застрягли з помилкою 124 інсталятора Microsoft Edge? Отримайте покрокові виправлення для швидкого вирішення проблем з інсталяцією. Перевірені рішення для безперебійного налаштування Edge у Windows. Технічні навички не потрібні!
Набридла помилка 124 інсталятора Microsoft Edge, яка блокує налаштування Windows 11? Скористайтеся нашими перевіреними та простими рішеннями, щоб швидко вирішити цю проблему та відновити безперебійний перегляд веб-сторінок. Технічні знання не потрібні!
