Програма-вимагальник Popcorn Time стає милосердною чи це просто обман?

Незважаючи на те, що існує незліченна кількість різновидів програм-вимагачів із нескінченними атаками, автори програм-вимагальників, схоже, планували налякати користувачів новою тактикою.

Ми вже отримали коди програм-вимагачів, які видаляють файли, якщо викуп не буде сплачений у встановлений термін. Крім того, існують варіанти, які блокують дані користувача, змінюючи ім’я файлу, що ускладнює розшифровку. Однак цього разу автори програм-вимагачів вирішили забезпечити легкий потік програм-вимагачів Popcorn Time, щоб зменшити свої зусилля. Або треба сказати, вони вирішили бути трохи милосердними до жертв.

Нещодавно MalwareHunterTeam виявив інший штам програм-вимагачів під назвою Popcorn Time. У варіанті є незвичайний спосіб вимагання грошей у користувачів. Якщо жертва успішно передає напругу двом іншим користувачам, вона отримає безкоштовний ключ дешифрування. Можливо, потерпілому доведеться заплатити, якщо він не зможе його передати. Що ще гірше, у програмі-вимагачі є незавершений код, який може видалити файли, якщо користувач 4 рази введе неправильний ключ дешифрування.

Що неприємного в програмі-вимагачі Popcorn Time

Штам має реферальне посилання, яке зберігається для передачі його іншим користувачам. Оригінальна жертва отримує ключ дешифрування, коли інші двоє заплатили викуп. Але якщо вони цього не зроблять, то платіж має здійснити основна жертва. Bleeping Computer цитує: «Щоб полегшити це, записка про викуп Popcorn Time міститиме URL-адресу, яка вказує на файл, розташований на сервері TOR вимагача. На даний момент сервер не працює, тому невідомо, як цей файл буде виглядати або замаскуватись, щоб обманом змусити людей встановити його».

Крім того, до варіанту може бути додана ще одна функція, яка видалятиме файли, якщо користувач 4 рази вводить неправильний ключ дешифрування. Очевидно, програма-вимагач все ще знаходиться на стадії розробки, і тому невідомо, чи ця тактика вже існує в ньому, чи це просто обман.

Дивіться також:  Рік програм-вимагачів: короткий підсумок

Робота програми Popcorn Time Ransomware

Після успішного встановлення програми-вимагача він перевіряє, чи вже було запущено програму- вимагач за допомогою кількох файлів, таких як %AppData%\been_here та %AppData%\server_step_one . Якщо система вже була заражена програмою-вимагачем, штам припиняється. Popcorn Time розуміє це, якщо в системі є файл «been_here». Якщо такий файл не виходить на комп’ютері, програма-вимагач продовжує поширювати зло. Він завантажує різні зображення для використання в якості фону або запуску процесу шифрування.

Оскільки Popcorn Time все ще знаходиться на стадії розробки, він шифрує лише тестову папку під назвою Efiles . Ця папка існує на робочому столі користувачів і містить різні файли, такі як .back, .backup, .ach тощо (повний список розширень файлів наведено нижче).

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

Після цього програма-вимагач шукає файли, які відповідають певним розширенням, і починає шифрувати файли за допомогою шифрування AES-256. Після того, як файл зашифровано за допомогою Popcorn Time, він додає .fillock як розширення. Наприклад, якщо ім’я файлу – 'abc.docx', воно буде змінено на 'abc.docx.fillock'. Коли зараження відбувається успішно, він перетворює два рядки base64 і зберігає їх як записки про викуп, які називаються restore_your_files.html і restore_your_files.txt . Після цього програма-викуп демонструє HTML-записку про викуп.

Джерело зображення: bleepingcomputer.com

Захист від програм-вимагачів

Хоча досі не було розроблено жодного детектора чи засобу для видалення програм-вимагачів, які могли б допомогти користувачам після зараження ними, однак користувачам рекомендується вживати запобіжних заходів, щоб уникнути атаки програм-вимагачів . Перш за все це зробити резервну копію ваших даних . Згодом ви також можете забезпечити безпечний серфінг в Інтернеті, увімкнути розширення для блокування реклами, зберегти справжній засіб захисту від шкідливих програм, а також своєчасно оновлювати програмне забезпечення, інструменти, програми та програми, встановлені у вашій системі. Очевидно, для цього потрібно покладатися на надійні інструменти. Одним з таких інструментів є Right Backup, який є рішенням хмарного сховища . Це допоможе вам зберегти ваші дані в хмарному безпеці за допомогою 256-бітного шифрування AES.