Ein Einblick in CoinVault Ransomware
Veröffentlicht: 2018-08-04Ransomware, eine bösartige Malware, macht sich auf den Weg und es lässt sich nicht leugnen, dass sie ihren Ruf als gewaltige Bedrohung bewahrt hat. Mit jedem Tag nehmen die Ransomware-Bedrohungen zu und es gibt keine Anzeichen dafür, dass sie langsamer werden.
Ransomware ist eine große Bedrohung nicht nur für Organisationen, sondern auch für Einzelpersonen, Krankenhäuser und fast alle Branchen. Normalerweise wird der Großteil davon durch Benutzeraktionen wie das Klicken auf einen schädlichen Link, den Besuch einer kompromittierten Website und andere verbreitet.
Heute werden wir über eine weitere fiese Ransomware sprechen. Das einzige, was diese Ransomware anders macht, ist, dass der Benutzer eine Datei entschlüsseln kann, um zu beweisen, dass das Opfer alle verschlüsselten Dateien entschlüsseln kann.
Was ist CoinVault?
CoinVault ist ein Ransomware-Programm zur Dateiverschlüsselung, das zur Cryptographic Locker-Familie gehört. Im Gegensatz zu anderen Ransomware-Programmen verwendet es keine Entschlüsselungsseite, um Zahlungen zu leisten und den Entschlüsseler herunterzuladen. Stattdessen hat es eine eingebaute Entschlüsselungsfunktion und ein Zahlungssystem in die ausführbare Malware.
Wie wird es verteilt?
CoinVault wird über E-Mails verbreitet, die eine ausführbare PDF-Datei als ZIP-Anhang enthalten. Diese PDF-Datei gibt vor, eine Rechnung, Bestellung, Rechnung, Reklamation oder irgendeine Art von Kommunikation zu sein. Wenn das Opfer auf das gefälschte PDF doppelklickt, wird das System von CoinVault infiziert und Malware wird im Ordner %AppData%\Microsoft\Windows installiert.
Wie es funktioniert?
Sobald CoinVault auf dem Computer installiert ist, beginnt es, das System nach Datendateien zu durchsuchen und verschlüsselt sie dann mit AES-Verschlüsselung, sodass nicht auf sie zugegriffen werden kann. Sobald alle Dateien verschlüsselt sind, zeigt CoinVault das CoinVault-Programm an, das Informationen über die Dateien, den Lösegeldbetrag und Anweisungen enthält, wie das Geld bezahlt werden muss.
Der Lösegeldbetrag variiert ab 0,7 Bitcoins und steigt nach jeweils 24 Stunden an, wenn das Opfer die Zahlung nicht leistet. Die Bitcoin-Adresse ist für jeden infizierten Computer unterschiedlich.
Hinweis: CoinVault erlaubt es, eine Datei kostenlos zu entschlüsseln, um zu beweisen, was es kann.
Wie werden die Dateien entschlüsselt?
Wenn die zu entschlüsselnde Datei ausgewählt wird, lädt CoinVault die Datei auf seinen Command-and-Control-Server hoch, entschlüsselt sie und sendet sie dann zurück an die Maschine, von der die Entschlüsselungsanfrage gesendet wird.
CoinVault ändert sogar Ihr Windows-Desktop-Hintergrundbild in „Ihre Dateien wurden verschlüsselt!“
Lesen Sie auch: Alles, was Sie über Spartacus Ransomware wissen müssen
Welche Dateitypen werden von CoinVault verschlüsselt?
CoinVault sucht nach bestimmten Dateien auf allen Laufwerken, die mit Ihrem System verbunden sind, um sie zu verschlüsseln. Das bedeutet, dass USB, externe Laufwerke, Netzlaufwerke und sogar Cloud-Dienste gefährdet sind. CoinVault verschlüsselt die Dateien, die mit den folgenden Erweiterungen enden:
| .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx , .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, . ai, .indd, .cdr, .dng, .3fr, .arw, .srf, .sr2, .mp3, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx , .p12, .p7b, .p7c, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt |
Was tun, wenn Sie erfahren, dass Ihr System infiziert ist?
Wenn Sie erfahren, dass Ihr System von CoinVault kompromittiert wurde, können Sie zwei Dinge tun.
- Zahlen Sie Lösegeld und lassen Sie die Angreifer Ihre Daten entschlüsseln.
- Stellen Sie Ihre Dateien wieder her, indem Sie die erstellte Sicherung wiederherstellen.
Wie können Sie verhindern, dass Ihr Computer von CoinVault infiziert wird?
Um zu verhindern, dass Ihr Computer von CoinVault infiziert wird, müssen Sie Softwareeinschränkungsrichtlinien erstellen, die die Ausführung ausführbarer Dateien blockieren, wenn sie in einem bestimmten Pfad gefunden werden. Dazu müssen Sie entweder den Windows-Gruppen- oder den lokalen Richtlinien-Editor verwenden.
Führen Sie die folgenden Schritte aus, um eine Einschränkungsregel hinzuzufügen:
1. Klicken Sie auf die Schaltfläche Start und geben Sie Lokale Sicherheitsrichtlinie ein.
2. Suchen Sie nun im neuen Fenster, das sich im linken Bereich öffnet, nach Richtlinien für Softwareeinschränkungen.
3. Wenn keine Richtlinie definiert ist, müssen Sie eine neue Richtlinie hinzufügen, indem Sie mit der rechten Maustaste auf Softwareeinschränkungsrichtlinien klicken.
4. Klicken Sie nun auf New Software Restriction Policies, um die Richtlinie zu aktivieren, und der rechte Bereich sieht wie in der Abbildung unten aus:
5. Klicken Sie nun mit der rechten Maustaste auf den Ordner „Zusätzliche Regeln“ im rechten Bereich und wählen Sie „Neue Pfadregel“. Dadurch können Sie eine Pfadregel hinzufügen.
Muss gelesen werden: Krypto-Mining ist die nächste große Bedrohung nach Ransomware
Die Einträge, die Sie hinzufügen müssen, lauten wie folgt:
So blockieren Sie die ausführbare CoinVault-Datei in %AppData%
Pfad: %AppData%\*.exe
Sicherheitsstufe: Unzulässig
Beschreibung: Ausführen ausführbarer Dateien von %AppData% nicht zulassen.
So blockieren Sie die ausführbare CoinVault-Datei in %LocalAppData%
Pfad bei Verwendung von Windows XP: %UserProfile%\Local Settings\*.exe
Pfad bei Verwendung von Windows Vista/7/8: %LocalAppData%\*.exe
Sicherheitsstufe: Unzulässig
Beschreibung: Ausführen ausführbarer Dateien von %AppData% nicht zulassen.
So blockieren Sie die ausführbare Zbot-Datei in %AppData%
Pfad: %AppData%\*\*.exe
Sicherheitsstufe: Unzulässig
Beschreibung: Ausführen ausführbarer Dateien aus unmittelbaren Unterordnern von %AppData% nicht zulassen.
So blockieren Sie die ausführbare Zbot-Datei in %LocalAppData%
Pfad bei Verwendung von Windows Vista/7/8: %LocalAppData%\*\*.exe
Sicherheitsstufe: Unzulässig
Beschreibung: Ausführen ausführbarer Dateien aus unmittelbaren Unterordnern von %AppData% nicht zulassen.
So blockieren Sie ausführbare Dateien, die von mit WinRAR geöffneten Archivanhängen ausgeführt werden:
Pfad bei Verwendung von Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Pfad bei Verwendung von Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Sicherheitsstufe: Unzulässig
Beschreibung: Blockieren Sie ausführbare Dateien, die von Archivanhängen ausgeführt werden, die mit WinRAR geöffnet wurden.
So blockieren Sie ausführbare Dateien, die von mit 7zip geöffneten Archivanhängen ausgeführt werden:
Pfad bei Verwendung von Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Sicherheitsstufe: Unzulässig
Beschreibung: Ausführbare Dateien blockieren, die von Archivanhängen ausgeführt werden, die mit 7zip geöffnet wurden.
So blockieren Sie ausführbare Dateien, die von mit WinZip geöffneten Archivanhängen ausgeführt werden:
Pfad bei Verwendung von Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Sicherheitsstufe: Unzulässig
Beschreibung: Ausführbare Dateien blockieren, die von mit WinZip geöffneten Archivanhängen ausgeführt werden.
Blockieren Sie ausführbare Dateien, die von Archivanhängen ausgeführt werden, die mit der in Windows integrierten Zip-Unterstützung geöffnet wurden:
Pfad bei Verwendung von Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Sicherheitsstufe: Unzulässig
Beschreibung: Blockieren Sie ausführbare Dateien, die von Archivanhängen ausgeführt werden, die mit der in Windows integrierten Zip-Unterstützung geöffnet wurden.
Hinweis: Wenn Sie diese Pfade zu Richtlinien für Softwareeinschränkung hinzufügen, funktionieren einige legitime Anwendungen möglicherweise nicht mehr. Dies geschieht, da einige Unternehmen ihre Anwendungen unwissentlich unter dem Profil eines Benutzers und nicht im Ordner „Programme“ installieren. Aus diesem Grund verhindern die Softwareeinschränkungsrichtlinien die Ausführung dieser Anwendungen.
Um solche Anwendungen auszuführen, müssen Sie daher mithilfe der oben beschriebenen Schritte eine Pfadregel hinzufügen, damit das Programm ausgeführt werden kann. Dazu müssen Sie eine Pfadregel für die ausführbare Datei dieses bestimmten Programms erstellen und die Sicherheitsstufe auf Uneingeschränkt statt auf Unzulässig setzen.
Sobald Sie dies tun, werden die angegebenen Anwendungen ausgeführt.
Wir hoffen, dass Sie diesen Artikel informativ genug und auch nützlich finden. Wenn Sie Fragen haben, können Sie sich gerne an uns wenden. Bitte senden Sie auch Ihr Feedback, da es für uns wertvoll ist und uns hilft zu verstehen, was unsere Kunden von uns erwarten.