نظرة ثاقبة على CoinVault Ransomware

نشرت: 2018-08-04

فيروسات الفدية (Ransomware) هي عبارة عن قطعة سيئة من البرمجيات الخبيثة تتفوق عليها ولا يمكن إنكار حقيقة أنها حافظت على سمعتها كتهديد هائل. مع كل يوم يمر تتزايد تهديدات برامج الفدية وليس هناك ما يشير إلى تباطؤها.

تعتبر برامج الفدية الضارة تهديدًا رئيسيًا ليس فقط للمؤسسات ، ولكن أيضًا للأفراد والمستشفيات وجميع الصناعات تقريبًا. عادةً ما يتم نشر معظمها من خلال إجراءات المستخدم مثل النقر فوق ارتباط ضار وزيارة موقع ويب تم اختراقه وغيرها.

اليوم ، سنناقش حول برنامج رانسوموير سيء آخر. الشيء الوحيد الذي يجعل برنامج الفدية هذا مختلفًا هو أنه يتيح للمستخدم فك تشفير ملف واحد لإثبات أن الضحية ستكون قادرة على فك تشفير جميع الملفات المشفرة.

ما هو CoinVault؟

CoinVault عبارة عن برنامج لتشفير ملفات الفدية ، وهو جزء من عائلة Cryptographic Locker. على عكس برامج الفدية الأخرى ، فإنه لا يستخدم موقع فك التشفير لإجراء المدفوعات وتنزيل برنامج فك التشفير. بدلاً من ذلك ، يحتوي على وظيفة فك تشفير مضمنة ونظام دفع في البرامج الضارة القابلة للتنفيذ.

CoinVault Ransomware

كيف يتم توزيعها؟

ينتشر CoinVault عبر رسائل البريد الإلكتروني التي تحتوي على ملف PDF وهو ملف قابل للتنفيذ كمرفق ZIP. يتظاهر ملف PDF هذا بأنه فاتورة أو أمر شراء أو فاتورة أو شكوى أو نوع من الاتصالات. عندما ينقر الضحية مرتين على ملف PDF المزيف ، يُصاب النظام بـ CoinVault ويتم تثبيت البرامج الضارة في مجلد ٪ AppData٪ \ Microsoft \ Windows .

كيف تعمل؟

بمجرد تثبيت CoinVault على الجهاز ، يبدأ في فحص النظام بحثًا عن ملفات البيانات ثم تشفيرها باستخدام تشفير AES بحيث لا يمكن الوصول إليها. بمجرد تشفير جميع الملفات ، يعرض CoinVault برنامج CoinVault الذي يحتوي على معلومات حول الملفات ومبلغ الفدية وإرشادات حول كيفية دفع الأموال.

يختلف مبلغ الفدية بدءًا من 0.7 Bitcoins ، حيث يرتفع المبلغ بعد زيادة كل 24 ساعة إذا فشلت الضحية في السداد. يختلف عنوان Bitcoin لكل جهاز مصاب.

ملاحظة: يسمح CoinVault بفك تشفير الملف مرة واحدة مجانًا لإثبات ما يمكنه فعله.

كيف يتم فك تشفير الملفات؟

عند تحديد الملف المراد فك تشفيره ، يقوم CoinVault بتحميل الملف إلى خادم الأوامر والتحكم الخاص به ، ويقوم بفك تشفيره ثم إرساله مرة أخرى إلى الجهاز الذي يتم إرسال طلب فك التشفير منه.

حتى أن CoinVault يغير خلفية سطح مكتب Windows إلى "تم تشفير ملفاتك!"

CoinVault Ransomware

اقرأ أيضًا: كل ما تحتاج لمعرفته حول Spartacus Ransomware

ما أنواع الملفات التي يتم تشفيرها بواسطة CoinVault؟

يبحث CoinVault عن ملفات محددة على جميع محركات الأقراص المتصلة بنظامك لتشفيرها. هذا يعني أن USB ومحركات الأقراص الخارجية ومحركات الشبكة وحتى الخدمات السحابية معرضة للخطر. سيقوم CoinVault بتشفير الملفات التي تنتهي بالامتدادات التالية:

.odt ، .ods ، .odp ، .odm ، .odc ، .odb ، .doc ، .docx ، .docm ، .wps ، .xls ، .xlsx ، .xlsm ، .xlsb ، .xlk ، .ppt ، .pptx ، .pptm ، .mdb ، .accdb ، .pst ، .dwg ، .dxf ، .dxg ، .wpd ، .rtf ، .wb2 ، .mdf ، .dbf ، .psd ، .pdd ، .pdf ، .eps ،. ai ، .indd ، .cdr ، .dng ، .3fr ، .arw ، .srf ، .sr2 ، .mp3 ، .bay ، .crw ، .cr2 ، .dcr ، .kdc ، .erf ، .mef ، .mrw ، .nef ، .nrw ، .orf ، .raf ، .raw ، .rwl ، .rw2 ، .r3d ، .ptx ، .pef ، .srw ، .x3f ، .der ، .cer ، .crt ، .pem ، .pfx ، .p12 ، .p7b ، .p7c ، .jpg ، .png ، .jfif ، .jpeg ، .gif ، .bmp ، .exif ، .txt

ماذا تفعل عندما تعرف أن نظامك مصاب؟

عندما تعرف أن نظامك قد تعرض للاختراق بواسطة CoinVault ، يمكنك القيام بأمرين.

  1. ادفع فدية واترك للمهاجمين فك تشفير بياناتك.
  2. قم باستعادة ملفاتك عن طريق استعادة النسخة الاحتياطية التي أخذتها.

كيف تمنع جهاز الكمبيوتر الخاص بك من الإصابة ببرنامج CoinVault؟

لمنع إصابة جهاز الكمبيوتر الخاص بك بواسطة CoinVault ، يلزمك إنشاء سياسات تقييد البرامج ، والتي ستمنع تشغيل الملفات القابلة للتنفيذ عند العثور عليها في مسار معين. لهذا تحتاج إلى استخدام Windows Group أو Local Policy Editor.

لإضافة قاعدة التقييد ، اتبع الخطوات أدناه:

1. انقر فوق الزر ابدأ واكتب نهج الأمان المحلي.

2. الآن في النافذة الجديدة التي تفتح في الجزء الأيمن ، ابحث عن سياسات تقييد البرامج.

3. إذا لم يتم تحديد سياسة ، فأنت بحاجة إلى إضافة سياسة جديدة بالنقر بزر الماوس الأيمن فوق سياسات تقييد البرامج.

CoinVault Ransomware

4. انقر الآن على سياسات تقييد البرامج الجديدة ، لتمكين السياسة وسيظهر الجزء الأيمن كالصورة أدناه:

CoinVault Ransomware

5. الآن ، انقر بزر الماوس الأيمن فوق مجلد القواعد الإضافية الموجود في الجزء الأيمن وحدد قاعدة مسار جديدة. سيتيح لك ذلك إضافة قاعدة المسار.

CoinVault Ransomware

يجب أن تقرأ: التعدين المشفر هو التهديد الكبير التالي بعد رانسومواري

الإدخالات التي تحتاج إلى إضافتها هي كما يلي:

لحظر CoinVault القابل للتنفيذ في٪ AppData٪

المسار: ٪ AppData٪ \ *. exe
مستوى الأمان S: غير مسموح به
الوصف: لا تسمح بتشغيل الملفات التنفيذية من٪ AppData٪.

لحظر CoinVault القابل للتنفيذ في٪ LocalAppData٪

المسار في حالة استخدام Windows XP: ٪ UserProfile٪ \ Local Settings \ *. exe
المسار في حالة استخدام Windows Vista / 7/8:٪ LocalAppData٪ \ *. exe
مستوى الأمان: غير مسموح به
الوصف: لا تسمح بتشغيل الملفات التنفيذية من٪ AppData٪.

لحظر Zbot القابل للتنفيذ في٪ AppData٪

المسار: ٪ AppData٪ \ * \ *. exe
مستوى الأمان: غير مسموح به
الوصف: لا تسمح بتشغيل الملفات التنفيذية من المجلدات الفرعية الفورية لـ٪ AppData٪.

لحظر Zbot القابل للتنفيذ في٪ LocalAppData٪

المسار في حالة استخدام Windows Vista / 7/8: ٪ LocalAppData٪ \ * \ *. exe
مستوى الأمان: غير مسموح به
الوصف: لا تسمح بتشغيل الملفات التنفيذية من المجلدات الفرعية الفورية لـ٪ AppData٪.

لحظر الملفات التنفيذية التي يتم تشغيلها من مرفقات الأرشيف المفتوحة باستخدام WinRAR:

المسار في حالة استخدام Windows XP: ٪ UserProfile٪ \ Local Settings \ Temp \ Rar * \ *. exe
المسار في حالة استخدام Windows Vista / 7/8:٪ LocalAppData٪ \ Temp \ Rar * \ *. exe
مستوى الأمان: غير مسموح به
الوصف: حظر الملفات التنفيذية التي يتم تشغيلها من مرفقات الأرشيف المفتوحة باستخدام WinRAR.

لحظر الملفات التنفيذية التي يتم تشغيلها من مرفقات الأرشيف المفتوحة باستخدام 7zip:

المسار في حالة استخدام Windows Vista / 7/8:٪ LocalAppData٪ \ Temp \ 7z * \ *. exe
مستوى الأمان: غير مسموح به
الوصف: يتم تشغيل الملفات التنفيذية الممنوعة من مرفقات الأرشيف المفتوحة باستخدام 7zip.

لحظر الملفات التنفيذية التي يتم تشغيلها من مرفقات الأرشيف المفتوحة باستخدام WinZip:

المسار في حالة استخدام Windows Vista / 7/8: ٪ LocalAppData٪ \ Temp \ wz * \ *. exe
مستوى الأمان: غير مسموح به
الوصف: حظر الملفات التنفيذية التي يتم تشغيلها من مرفقات الأرشيف المفتوحة باستخدام WinZip.

يتم تشغيل حظر الملفات التنفيذية من مرفقات الأرشيف المفتوحة باستخدام دعم Zip المدمج في Windows:

المسار في حالة استخدام Windows Vista / 7/8:٪ LocalAppData٪ \ Temp \ *. zip \ *. exe
مستوى الأمان: غير مسموح به
الوصف: حظر الملفات التنفيذية التي يتم تشغيلها من مرفقات الأرشيف المفتوحة باستخدام دعم Zip المدمج في Windows.

ملاحظة: عند استخدام هذه المسارات إلى سياسات تقييد البرامج ، قد تتوقف بعض التطبيقات المشروعة عن العمل. يحدث هذا عندما تقوم بعض الشركات عن غير قصد بتثبيت تطبيقاتها ضمن ملف تعريف المستخدم بدلاً من مجلد Program Files. نتيجة لذلك ، ستعمل سياسات تقييد البرامج على إيقاف تشغيل هذه التطبيقات.

لذلك ، لتشغيل مثل هذه التطبيقات ، ستحتاج إلى إضافة قاعدة مسار باستخدام الخطوات الموضحة أعلاه للسماح بتشغيل البرنامج. للقيام بذلك ، تحتاج إلى إنشاء قاعدة مسار لهذا البرنامج المحدد القابل للتنفيذ وتعيين مستوى الأمان إلى غير مقيد بدلاً من غير مسموح به.

بمجرد القيام بذلك ، سيبدأ تشغيل التطبيقات المحددة.

نأمل أن تجد هذه المقالة غنية بالمعلومات ومفيدة أيضًا. إذا كان لديك أي استفسار ، فلا تتردد في الاتصال بنا. يرجى أيضًا إرسال ملاحظاتك ، حيث إنها ذات قيمة لنا وتساعدنا على فهم ما يتوقعه عملاؤنا منا.