क्या पॉपकॉर्न टाइम रैंसमवेयर दयालु हो रहा है या यह सिर्फ एक धोखा है?

अनंत हमलों के साथ अनगिनत रैनसमवेयर उपभेद होने के बावजूद, ऐसा लगता है कि रैंसमवेयर लेखकों ने उपयोगकर्ताओं को नई युक्तियों से डराने की योजना बनाई है।

हमें पहले से ही रैंसमवेयर स्ट्रेन प्राप्त हो चुके हैं जो निर्धारित समय सीमा में फिरौती का भुगतान नहीं करने पर फाइलों को हटा देगा। इसके अलावा, ऐसे वेरिएंट हैं जो फ़ाइल का नाम बदलकर उपयोगकर्ता के डेटा को लॉक कर देते हैं, डिक्रिप्शन को और भी कठिन बना देते हैं। हालांकि इस बार, रैंसमवेयर लेखकों ने अपने प्रयास को कम करने के लिए पॉपकॉर्न टाइम रैंसमवेयर के आसान प्रवाह को सुनिश्चित करने का निर्णय लिया। या हमें कहना चाहिए, उन्होंने पीड़ितों के प्रति थोड़ी दया दिखाने का फैसला किया है।

हाल ही में, MalwareHunterTeam द्वारा पॉपकॉर्न टाइम नामक एक और रैंसमवेयर स्ट्रेन की खोज की गई। वैरिएंट के पास उपयोगकर्ताओं से पैसे निकालने का एक असामान्य तरीका है। यदि कोई पीड़ित सफलतापूर्वक तनाव को दो अन्य उपयोगकर्ताओं के पास भेजता है, तो उसे एक मुफ्त डिक्रिप्शन कुंजी मिलेगी। शायद पीड़ित को भुगतान करना होगा यदि वह इसे पारित करने में असमर्थ है। इसे और भी बदतर बनाने के लिए, रैंसमवेयर में एक अधूरा कोड है जो उपयोगकर्ता द्वारा 4 बार गलत डिक्रिप्शन कुंजी दर्ज करने पर फ़ाइलों को हटा सकता है।

पॉपकॉर्न टाइम रैनसमवेयर में क्या गड़बड़ है

तनाव में एक रेफ़रल लिंक होता है जिसे इसे अन्य उपयोगकर्ताओं तक पहुँचाने के लिए रखा जाता है। मूल शिकार को डिक्रिप्शन कुंजी तब मिलती है जब अन्य दो फिरौती का भुगतान करते हैं। लेकिन, यदि वे ऐसा नहीं करते हैं तो प्राथमिक पीड़ित को भुगतान करना होगा। ब्लीपिंग कंप्यूटर उद्धरण, “इसकी सुविधा के लिए, पॉपकॉर्न टाइम रैनसम नोट में एक URL होगा जो रैंसमवेयर के TOR सर्वर पर स्थित फ़ाइल की ओर इशारा करता है। इस समय सर्वर डाउन है, इसलिए यह अनिश्चित है कि लोगों को इसे स्थापित करने के लिए बरगलाने के लिए यह फ़ाइल कैसे दिखाई देगी या प्रच्छन्न होगी।"

इसके अलावा, वैरिएंट में एक और फीचर जोड़ा जा सकता है जो फाइलों को डिलीट कर देगा अगर यूजर 4 बार गलत डिक्रिप्शन की डाल देता है। जाहिरा तौर पर, रैंसमवेयर अभी भी विकास के चरण में है और इसलिए यह अज्ञात है कि यह रणनीति पहले से मौजूद है या यह सिर्फ एक धोखा है।

Popcorn Time Ransomware काम कर रहा है

एक बार रैंसमवेयर सफलतापूर्वक स्थापित हो जाने के बाद, यह जांचता है कि क्या रैंसमवेयर पहले से ही %AppData%\been_here जैसी कई फाइलों के माध्यम से चलाया जा चुका है। और %AppData%\server_step_one . यदि सिस्टम पहले से ही रैंसमवेयर से संक्रमित हो चुका है, तो तनाव स्वयं समाप्त हो जाता है। पॉपकॉर्न टाइम इसे समझता है अगर सिस्टम 'been_here' फ़ाइल है। अगर कंप्यूटर में ऐसी कोई फाइल नहीं निकलती है, तो रैनसमवेयर शातिरता फैलाने के लिए आगे बढ़ता है। यह पृष्ठभूमि के रूप में उपयोग करने या एन्क्रिप्शन प्रक्रिया शुरू करने के लिए विभिन्न छवियों को डाउनलोड करता है।

चूंकि पॉपकॉर्न टाइम अभी भी अपने विकासशील चरण में है, यह केवल Efiles नामक एक परीक्षण फ़ोल्डर को एन्क्रिप्ट करता है . यह फ़ोल्डर उपयोगकर्ताओं के डेस्कटॉप पर मौजूद है और इसमें विभिन्न फाइलें जैसे .back, .backup, .ach, आदि हैं (फ़ाइल एक्सटेंशन की पूरी सूची नीचे दी गई है)।


.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp


इसके बाद, रैंसमवेयर उन फ़ाइलों की तलाश करता है जो कुछ एक्सटेंशन से मेल खाती हैं और AES-256 एन्क्रिप्शन के साथ फ़ाइलों को एन्क्रिप्ट करना शुरू कर देती हैं। पॉपकॉर्न टाइम के साथ फ़ाइल को एन्क्रिप्ट करने के बाद, यह .filock को इसके एक्सटेंशन के रूप में जोड़ देता है। उदाहरण के लिए यदि फ़ाइल का नाम 'abc.docx' है तो इसे 'abc.docx.filock' में बदल दिया जाएगा। जब संक्रमण सफलतापूर्वक हो जाता है, तो यह दो बेस 64 स्ट्रिंग्स को परिवर्तित करता है और उन्हें restore_your_files.html नामक फिरौती नोट के रूप में सहेजता है और restore_your_files.txt . इसके बाद, रैंसमवेयर HTML रैनसम नोट प्रदर्शित करता है।

छवि स्रोत:bleepingcomputer.com

रैंसमवेयर से सुरक्षा

हालांकि अब तक ऐसा कोई डिटेक्टर या रैंसमवेयर रिमूवर विकसित नहीं किया गया है जो इससे संक्रमित होने के बाद उपयोगकर्ता की मदद कर सके, हालांकि, उपयोगकर्ताओं को रैनसमवेयर हमले से बचने के लिए एहतियाती उपाय करने की सलाह दी जाती है। सबसे जरूरी है अपने डाटा का बैकअप लेना। इसके बाद, आप इंटरनेट पर सुरक्षित सर्फिंग भी सुनिश्चित कर सकते हैं, एड ब्लॉक एक्सटेंशन को सक्षम कर सकते हैं, एक प्रामाणिक एंटी-मैलवेयर टूल रख सकते हैं और अपने सिस्टम पर इंस्टॉल किए गए सॉफ़्टवेयर, टूल्स, ऐप्स और प्रोग्राम को समय पर अपडेट कर सकते हैं। जाहिर है, आपको उसी के लिए विश्वसनीय उपकरणों पर भरोसा करने की आवश्यकता है। ऐसा ही एक टूल राइट बैकअप है जो क्लाउड स्टोरेज सॉल्यूशन है। यह 256-बिट एईएस एन्क्रिप्शन के साथ क्लाउड सुरक्षा पर आपके डेटा को सहेजने में आपकी सहायता करता है।