Popcorn Time ランサムウェアは慈悲深いのか、それともデマなのか?

終わりのない攻撃を伴う無数のランサムウェアが存在するにもかかわらず、ランサムウェアの作成者は新しい戦術でユーザーを怖がらせることを計画しているようです.

指定された制限時間内に身代金が支払われない場合、ファイルを削除するランサムウェアの亜種を既に受け取っています。さらに、ファイル名を変更してユーザーのデータをロックし、復号化をさらに困難にする亜種もあります。しかし今回、ランサムウェアの作成者は、労力を軽減するために、Popcorn Time ランサムウェアを簡単に流せるようにすることにしました。あるいは、彼らは被害者に対して少し慈悲深くなることを決めたと言うべきです.

最近、Popcorn Time と呼ばれる別のランサムウェア株が MalwareHunterTeam によって発見されました。この亜種には、ユーザーから金を巻き上げる珍しい方法があります。被害者が他の 2 人のユーザーに株を渡すことに成功した場合、その被害者は無料の復号化キーを取得します。おそらく、被害者がそれを渡すことができない場合は、支払う必要があります。さらに悪いことに、ランサムウェアには未完成のコードがあり、ユーザーが間違った復号化キーを 4 回入力するとファイルが削除される可能性があります。

Popcorn Time ランサムウェアの怪しい点

系統には紹介リンクがあり、他のユーザーに送信するために保持されます。最初の被害者は、他の 2 人が身代金を支払うと、復号化キーを取得します。しかし、そうでない場合は、主な被害者が支払いを行う必要があります。 Bleeping Computer は次のように述べています。現在、サーバーがダウンしているため、このファイルがどのように表示されたり、偽装されてインストールされるように仕向けられるかは不明です。」

さらに、ユーザーが誤った復号化キーを 4 回入力した場合にファイルを削除する別の機能が亜種に追加される可能性があります。どうやら、ランサムウェアはまだ開発段階にあるため、この戦術が既に存在するのか、それともただのデマなのかは不明です。

Popcorn Time ランサムウェアの仕組み

ランサムウェアが正常にインストールされると、ランサムウェアが %AppData%\been_here などの複数のファイルを介して既に実行されているかどうかがチェックされます および %AppData%\server_step_one .システムがすでにランサムウェアに感染している場合、その株は自動的に終了します。システムに「been_here」ファイルがある場合、Popcorn Time はこれを認識します。そのようなファイルがコンピュータに存在しない場合、ランサムウェアは悪意を拡散し続けます。背景として使用するため、または暗号化プロセスを開始するために、さまざまな画像をダウンロードします。

Popcorn Time はまだ開発段階にあるため、Efiles というテスト フォルダのみを暗号化します。 .このフォルダはユーザーのデスクトップに存在し、.back、.backup、.ach などのさまざまなファイルが含まれています (ファイル拡張子の全リストを以下に示します)。


.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp


その後、ランサムウェアは特定の拡張子に一致するファイルを探し、AES-256 暗号化を使用してファイルの暗号化を開始します。ファイルが Popcorn Time で暗号化されると、拡張子として .filock が追加されます。たとえば、ファイル名が「abc.docx」の場合、「abc.docx.filock」に変更されます。感染が成功すると、2 つの base64 文字列を変換し、restore_your_files.html という身代金メモとして保存します。 および restore_your_files.txt .その後、ランサムウェアは HTML 身代金メモを表示します。

画像ソース:bleepingcomputer.com

ランサムウェアからの保護

ユーザーが感染した後に役立つ検出器やランサムウェア リムーバーはこれまで開発されていませんが、ユーザーはランサムウェア攻撃を回避するための予防措置を講じることをお勧めします。何よりもまず、データのバックアップを取ることです。その後、安全なインターネット サーフィンを確保し、広告ブロック拡張機能を有効にし、正規のマルウェア対策ツールを維持し、システムにインストールされているソフトウェア、ツール、アプリ、プログラムをタイムリーに更新することもできます。どうやら、同じことを行うには信頼できるツールに頼る必要があります。そのようなツールの 1 つが、クラウド ストレージ ソリューションである Right Backup です。 256 ビット AES 暗号化を使用してクラウド セキュリティでデータを保存するのに役立ちます。