Ransomware Popcorn Time

Znany również jako: Popcorn Time virus
Dystrybucja: Niska
Poziom zniszczenia: <strong>Silny</strong>

Opis Usuwanie Zapobieganie

Instrukcje usuwania ransomware Popcorn Time

Czym jest Popcorn Time?

Popcorn Time to wirus typu ransomware odkryty przez badaczy bezpieczeństwa MalwareHunterTeam. Po infiltracji, Popcorn Time szyfruje różne dane zapisane na zainfekowanym komputerze. Podczas szyfrowania ransomware to dodaje do nazwy zaszyfrowanych plików rozszerzenie ".kok" lub ".filock". Po udanym szyfrowaniu, Popcorn Time otwiera okno pop-up i tworzy plik HTML ("restore_your_files.html"), umieszczając go na pulpicie. Oba zawierają wiadomość z żądaniem okupu.

Wiadomości informują ofiary o szyfrowaniu. Klucz jest przechowywany na serwerze zdalnym posiadanym przez programistów Popcorn Time. Dlatego też ofiary są zachęcane do zapłacenia okupu w wysokości 1 Bitcoina (około 750 dolarów), aby go otrzymać. Jeżeli okup nie zostanie zapłacony w ciągu siedmiu dni, klucz zostanie trwale usunięty, a deszyfrowanie stanie się niemożliwe. Popcorn Time ma jedną cechę, która wyróżnia go spośród wirusów typu ransomware: pozwala ofiarom odszyfrować swoje pliki za darmo za pomocą dostarczonego linku partnerskiego. Ofiary muszą promować ten link wśród innych użytkowników tak, aby ich komputery zostały zainfekowane. Jeżeli co najmniej dwie z tych innych osób zapłacą okup, pliki zostaną odszyfrowane bezpłatnie. Wiadomość stwierdza, że ​​żądającymi okupu deweloperami Popcorn Time są studenci z Syrii. Twierdzą oni, że powodem, dla którego to robią jest głód w Syrii. Wszystkie płatności mają podobno pomóc uchodźcom i zubożałymi ludziom tego narodu. Należy jednak pamiętać, że te twierdzenia są fałszywe – twórcy Popcorn Time są cyberprzestępcami, którzy po prostu mają na celu generowanie przychodów. Ponadto z badania wynika, że ​​cyberprzestępcy często ignorują ofiary pomimo dokonanych płatności. W związku z tym osobom tym nigdy nie powinno się ufać - nigdy nie próbuj się z nimi kontaktować ani płacić okupu. Istnieje wysokie prawdopodobieństwo, że zostaniesz oszukany. Obecnie nie ma żadnych narzędzi zdolnych do odzyskania plików zaszyfrowanych przez Popcorn Time. Problem może być rozwiązany tylko poprzez przywrócenie plików/systemu z kopii zapasowej.

Zrzut ekranu wiadomości zachęcającej użytkowników do zapłacenia okupu w celu odszyfrowania ich zainfekowanych danych:

Popcorn Time decrypt instructions

Istnieją dziesiątki wirusów typu ransomware podobnych do Popcorn Time, w tym Sage, GoldenEye i *.osiris - to tylko niektóre przykłady z wielu. Podobnie jak Popcorn Time, inne wirusy typu ransomware również szyfrują pliki i domagają się okupu. Głównymi różnicami są jedynie wykorzystywany algorytm szyfrowania (symetryczny/asymetryczny) i koszt odszyfrowania. Wirusy te są często dystrybuowane za pomocą źródeł pobierania oprogramowania stron trzecich (sieci peer-to-peer, stron internetowych z freeware do pobrania, strony internetowych z bezpłatnym hostingiem plików itp.), złośliwych plików załączonych do wiadomości Spam, fałszywych narzędzi aktualizacji oprogramowania i koni trojańskich. Dlatego nigdy nie należy pobierać oprogramowania z nieoficjalnych źródeł lub otwierać plików otrzymanych z podejrzanych e-maili. Ponadto należy na bieżąco aktualizować zainstalowane aplikacje - cyberprzestępcy są zdolni do wykorzystywania błędów/wad oprogramowania w celu zainfekowania systemu. Nigdy nie należy używać narzędzi aktualizacji strony trzeciej - mogą być fałszywe i doprowadzić do infekcji komputera wysokiego ryzyka. Zawsze używaj właściwych programów antywirusowych/antyspyware. Kluczem do bezpieczeństwa komputerowego jest ostrożność.

Zrzut ekranu pliku HTML ("restore_your_files.html"):

Popcorn Time html file

Tekst prezentowany w pliku html Popcorn Time:

Wiadomość ostrzegawcza!!

Przykro nam to mówić, ale twój komputer i pliki zostały zaszyfrowane, ale czekaj, nie martw się. Jest sposób, dzięki któremu możesz przywrócić komputer i wszystkie pliki. Gdy odliczanie się zakończy, pliki zostaną utracone na zawsze.

Musisz wysłać co najmniej [KWOTA] Bitcoin na nasz portfel, a otrzymasz swoje pliki z powrotem.

Twój osobisty unikatowy identyfikator: -

Wyślij [KWOTA] BTC na ten adres: 1LEiPgvh6S9VEXWV2dZTytSRd7e9B1bWt3

Wiadomość ostrzegawcza!!
********************
Przykro nam to mówić, ale twój komputer i pliki zostały zaszyfrowane, ale czekaj, nie martw się. Jest sposób, dzięki któremu możesz przywrócić komputer i wszystkie pliki.
****************************************************************************************************
Twój osobisty unikatowy identyfikator: -

Musisz wysłać przynajmniej - Bitcoin na adres - aby odzyskać swoje pliki z powrotem

Ostrzeżenie! ! ! Jeśli nie zapłacisz w ciągu następnych 7 dni, klucz deszyfrujący zostanie usunięty, a twoje pliki zostaną utracone na zawsze.
****************************************************************************************************
Przywracanie twoich plików - szybki i łatwy sposób

Aby szybko odzyskać swoje pliki, prześlij - Bitcoin na nasz portfel -. Gdy otrzymamy pieniądze, natychmiast damy ci twój prywatny klucz deszyfrujący. Płatność powinna być potwierdzona w ciągu około 2 godzin po dokonaniu płatności.

Przywracanie plików - paskudny sposób

Wyślij link - innym osobom. Jeżeli dwie lub więcej osób zainstaluje te pliki i zapłaci, odszyfrujemy twoje pliki za darmo.

Co zrobiliśmy?

Zaszyfrowaliśmy wszystkie twoje ważne zdjęcia, dokumenty, filmy i wszelkie inne pliki na twoim komputerze. Użyliśmy bardzo silnego algorytmu szyfrowania używanego przez wszystkie rządy na całym świecie. Przechowujemy osobisty kod deszyfrujący dla twoich plików na naszych serwerach i jesteśmy jedynymi, którzy mogą odszyfrować twoje pliki. Nie próbuj być zbyt mądry. Wszystko inne niż płatność spowoduje uszkodzenie twoich plików i zostaną one utracone na zawsze! ! ! Jeśli nie zapłacisz w ciągu następnych 7 dni, klucz deszyfrujący zostanie usunięty, a twoje pliki zostaną utracone na zawsze.

Co możemy zrobić?

Jesteśmy grupą studentów informatyki z Syrii. Jak zapewne wiesz Syria ma teraz najgorszy czas w ciągu ostatnich pięciu lat. Od 2011 roku zginęło ponad pół miliona osób a ponad 5 milionów stało się uchodźcami. Każdy członek naszego zespołu stracił kogoś bliskiego ze swojej rodziny. Ja osobiście straciłem oboje rodziców i młodszą siostrę w 2015 roku. Smutne jest to, że świat milczy i nikt nam nie pomaga, więc zdecydowaliśmy się podjąć działanie.

Jak kupić Bitcoiny?

Jeśli nie jesteś zaznajomiony z Bitcoin i nie wiesz co to jest, odwiedź oficjalną stronę Bitcoin (https://bitcoin.org/en/getting-started) i wykonaj instrukcje, a dostaniesz swoje Bitcoiny. Aby zrozumieć więcej możesz również sprawdzić stronę FAQ (https://bitcoin.org/en/faq). Sprawdź tę stronę internetową (https://coinatmradar.com), na której możesz znaleźć bankomaty Bitcoin na całym świecie.

Lista zaszyfrowanych plików na twoim komputerze -

Zrzut ekranu plików zaszyfrowanych przez Popcorn Time (rozszerzenie ".kok"):

Files encrypted by Popcorn Time (sample 1)

Zrzut ekranu plików zaszyfrowanych przez Popcorn Time (rozszerzenie ".filock"):

Files encrypted by Popcorn Time (sample 2)

Usuwanie ransomware Popcorn Time:

Szybkie menu: Szybki sposób na usunięcie Popcorn Time virus

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem Popcorn Time. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


DOWNLOAD
Program do usuwania Popcorn Time virus

Pobierając wymienione na tej stronie oprogramowanie zgadzasz się z naszą Polityką prywatności i Regulaminem. Bezpłatny skaner SpyHunter służy wykryciu malware. Aby usunąć wykryte infekcje, należy zakupić pełną wersję tego produktu. Więcej informacji na temat SpyHunter. Jeśli chcesz odinstalować SpyHunter, podążaj za tymi instrukcjami. Wszystkie polecane przez nas produkty zostały dokładnie przetestowane i zatwierdzone przez naszych techników, jako jedne z najbardziej efektywnych rozwiązań dla usunięcia tego zagrożenia.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Popcorn Time).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Popcorn Time.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Popcorn Time są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Popcorn Time możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Popcorn Time

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta używa zawansowanej technologii proaktywnej, która monitoruje aktywność ransomware i natychmiast ją zatrzymuje - zanim dotrze do plików użytkownika:

malwarebytes anti-ransomware

  • Najlepszym sposobem na uniknięcie zniszczenia spowodowanego infekcjami malware jest regularne tworzenie kopii zapasowych. Więcej informacji dotyczących rozwiązań kopii zapasowych online oraz odzyskiwania danych można znaleźć tutaj.

Inne narzędzia znane z usuwania ransomware Popcorn Time:

Nasze przewodniki usuwania malware są bezpłatne. Jednak, jeśli chcesz nas wesprzeć, możesz przesłać nam dotację.