Forumi » Održavanje i zaštita kompjutera

Ransomware Popcorn Time

    • Moderator
    • 779 postova
    17. децембар 2016. 12.28.50 CET

    MalwareHunterTeam je otkrio novi ransomware nazvan Popcorn Time koji za žrtve ima veoma neobičnu ponudu - da budu saučesnici u sajber kriminalu.

    Za žrtve Popcorn Timea postoje dva rešenja. Jedno je da plate otkupninu da bi vratili svoje fajlove, a drugo je da pokušaju da inficiraju računare druga dva korisnika i nateraju ih da plate otkupninu da bi dobili besplatan ključ.

     

    Međutim, ovo nije jedina loša vest. Kod ransomwarea je nedovršen pa ako korisnik inficiranog računara 4 puta unese pogrešan ključ za dešifrovanje, ransomware će početi da briše fajlove.

     

    Treba napomenuti da ovaj ransomware nema bilo kakve veze sa aplikacijom Popcorn Time koja preuzima i prikazuje filmove.

     

    Autor ransomwarea Popcorn Time podstiče žrtve da šire njegov malver. Ako još dva korisnika, odnosno njihovi računari budu inficirani i plate otkup navodno će dobiti besplatan ključ.

     

    U obaveštenju koje prikazuje ransomware nalazi se URL koji vodi do fajla na TOR serveru ransomwarea.

     

    Kod ransomwarea ukazuje da će njegov autor možda dodati funkciju koja briše fajlove ako žrtva 4 puta unese pogrešan kod za dešifrovanje.

     

    S obzirom da je ransomware još uvek u razvoju, nije jasno da li je to taktika zastrašivanja ili će kod za brisanje fajlova zaista biti dodat.

     

    Kada se pokrene, Popcorn Time proverava da li su fajlovi na računaru već šifrovani i ako jesu prekida svoju aktivnost. U suprotnom, preuzeće različite slike koje koristi kao pozadine ili počinje proces enkripcije.

     

    Kako je ransomware u fazi razvoja, on cilja samo folder na desktopu nazvan Efiles. On će tražiti fajlove u ovom folderu koji imaju odgovarajuće ekstenzije i zatim će ih šifrovati koristeći AES-256 enkripciju. Kada je fajl šifrovan on će dobiti ekstenziju .filock.

     

    Dok šifruje fajlove, ransomware će prikazivati ekran koji prikazuje da je u toku preuzimanje i instalacija programa.

     

    Kada završi sa šifrovanjem, ransomware prikazuje HTML obaveštenje o otkupu.

     


    Poslednja izmena: 17. децембар 2016. 12.29.29 CET"
    • 1 postova
    27. децембар 2016. 20.10.43 CET

    Zdravo ! A šta možete reći o Goldeneye ransomware? Moguće je da ga ukloniti? Zato što sam koristio ovo uputstvo i ShadowExplorer, ali to nije pomoglo.

    • 1 postova
    05. јануар 2017. 16.26.29 CET

    Alex,

    Goldeneye možes da ukloniš sa računara, ali podatke koje je kritovao ne možeš da vratiš. Prve verzije skoro svakog Ransomvera ostave shadow fajlove, ali novije verzije uklanjaju sve, tako da je nemoguće vratiti ono što je kriptovao. Maliciozni kod promeni kompletan sadržaj shadow polja koristeći regularnu komandu windowsa (vssadmin). Uputstva koja pominju shadow recovery obično zaborave da napomenu da je to moguće samo ako je ova komanda bila onemogućena pre pokretanja  ransomwera.

    Inače, Goldeneye koristi  isti model koji koriste ranije verzije ransomwera Petya / Mischa

    Predlažem ti da napraviš kopiju tog diska (image file) i sačuvaš tako. Neka praksa je da autori ransomwera posle nekog vremena objave master ključ kojim je moguće dekriptovati ono što je da pošast kriptovala. Nedavno je, na primer, objavljen master ključ za Tesla Ransomware.

    U pitanju je 2k (2048) RSA ključ - imajući u vidu mogućnosti današnjih računara, vreme potreno za probijanje ovog ključa je mnooooooooooooogo duže od našeg zivota :)

    Pozdrav,