수없이 많은 랜섬웨어 변종과 끊임없는 공격에도 불구하고 랜섬웨어 작성자는 새로운 전술로 사용자를 놀라게 할 계획을 세운 것으로 보입니다.
지정된 시간 내에 몸값을 지불하지 않으면 파일을 삭제하는 랜섬웨어 변종을 이미 받았습니다. 또한 파일 이름을 변경하여 사용자의 데이터를 잠그는 변형이 있어 암호 해독이 더욱 어려워집니다. 그러나 이번에는 랜섬웨어 작성자가 노력을 줄이기 위해 Popcorn Time Ransomware의 쉬운 흐름을 보장하기로 결정했습니다. 아니면 피해자에게 약간의 자비를 베풀기로 결정했다고 해야 할까요?
최근 MalwareHunterTeam은 Popcorn Time이라는 또 다른 랜섬웨어 변종을 발견했습니다. 변종은 사용자로부터 돈을 갈취하는 특이한 방법을 가지고 있습니다. 피해자가 다른 두 명의 사용자에게 부담을 성공적으로 전달하면 무료 암호 해독 키를 받게 됩니다. 아마도 피해자가 그것을 넘길 수 없다면 비용을 지불해야 할 것입니다. 설상가상으로 랜섬웨어에는 사용자가 암호 해독 키를 4번 잘못 입력하면 파일을 삭제할 수 있는 미완성 코드가 있습니다.
Popcorn Time Ransomware의 수상한 점
변종에는 다른 사용자에게 전송하기 위해 유지되는 추천 링크가 있습니다. 원래 피해자는 다른 두 사람이 몸값을 지불했을 때 암호 해독 키를 받습니다. 그러나 그렇지 않은 경우 1차 피해자가 비용을 지불해야 합니다. Bleeping Computer는 “이를 용이하게 하기 위해 Popcorn Time 랜섬 노트에는 랜섬웨어의 TOR 서버에 있는 파일을 가리키는 URL이 포함됩니다. 현재 서버가 다운되었기 때문에 사람들이 설치하도록 속이기 위해 이 파일이 어떻게 나타나거나 위장되는지 확실하지 않습니다.”
또한 사용자가 잘못된 암호 해독 키를 4번 입력하면 파일을 삭제하는 또 다른 기능이 변종에 추가될 수 있습니다. 분명히 랜섬웨어는 아직 개발 단계에 있으므로 이 전술이 이미 존재하는지 아니면 그냥 장난인지 알 수 없습니다.
Popcorn Time Ransomware의 작동 방식
랜섬웨어가 성공적으로 설치되면 %AppData%\been_here와 같은 여러 파일을 통해 이미 랜섬웨어가 실행되었는지 확인합니다. 및 %AppData%\server_step_one . 시스템이 이미 랜섬웨어에 감염된 경우 변형 자체가 종료됩니다. Popcorn Time은 시스템에 'been_here' 파일이 있는 경우 이를 이해합니다. 그러한 파일이 컴퓨터에 없으면 랜섬웨어는 계속해서 악의를 퍼뜨립니다. 다양한 이미지를 다운로드하여 배경으로 사용하거나 암호화 프로세스를 시작합니다.
Popcorn Time은 아직 개발 단계이므로 Efiles라는 테스트 폴더만 암호화합니다. . 이 폴더는 사용자의 바탕 화면에 존재하며 .back, .backup, .ach 등과 같은 다양한 파일을 포함합니다(전체 파일 확장자 목록은 아래에 제공됨).
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp
그 후 랜섬웨어는 특정 확장자와 일치하는 파일을 찾고 AES-256 암호화로 파일을 암호화하기 시작합니다. 파일이 Popcorn Time으로 암호화되면 확장자로 .filock이 추가됩니다. 예를 들어 파일 이름이 'abc.docx'인 경우 'abc.docx.filock'으로 변경됩니다. 감염이 성공적으로 수행되면 두 개의 base64 문자열을 변환하고 restore_your_files.html이라는 랜섬 노트로 저장합니다. 및 restore_your_files.txt . 그 후 랜섬웨어는 HTML 랜섬 노트를 표시합니다.
이미지 출처:bleepingcomputer.com
랜섬웨어 방지
지금까지 랜섬웨어에 감염된 후 사용자를 도울 수 있는 감지기 또는 랜섬웨어 제거 프로그램은 개발되지 않았지만 사용자는 랜섬웨어 공격을 피하기 위해 예방 조치를 취하는 것이 좋습니다. 가장 중요한 것은 데이터를 백업하는 것입니다. 결과적으로 인터넷에서 안전한 서핑을 보장하고, 광고 차단 확장을 활성화하고, 진정한 맬웨어 방지 도구를 유지하고, 시스템에 설치된 소프트웨어, 도구, 앱 및 프로그램을 적시에 업데이트할 수 있습니다. 분명히 동일한 작업을 위해 신뢰할 수 있는 도구에 의존해야 합니다. 이러한 도구 중 하나는 클라우드 스토리지 솔루션인 Right Backup입니다. 256비트 AES 암호화로 클라우드 보안에 데이터를 저장할 수 있습니다.