Wawasan tentang Ransomware CoinVault

Ransomware adalah bagian jahat dari malware yang membuatnya ada dan tidak dapat disangkal fakta bahwa ia telah mempertahankan reputasinya sebagai ancaman yang tangguh. Setiap hari ancaman ransomware meningkat dan tidak ada tanda-tanda akan melambat.

Ransomware adalah ancaman utama tidak hanya bagi organisasi, tetapi juga bagi individu, rumah sakit, dan hampir semua industri. Biasanya sebagian besar menyebar melalui tindakan pengguna seperti mengklik tautan berbahaya, mengunjungi situs web yang disusupi, dan lainnya.

Hari ini, kita akan membahas tentang ransomware jahat lainnya. Satu-satunya hal yang membuat ransomware ini berbeda adalah, ini memungkinkan pengguna mendekripsi satu file untuk membuktikan bahwa korban akan dapat mendekripsi semua file yang dienkripsi.

Apa itu CoinVault?

CoinVault program ransomware enkripsi file, bagian dari keluarga Cryptographic Locker. Tidak seperti program ransomware lainnya, program ini tidak menggunakan situs dekripsi untuk melakukan pembayaran dan mengunduh dekripsi. Sebaliknya ia memiliki fungsi dekripsi bawaan dan sistem pembayaran ke dalam malware yang dapat dieksekusi.

Bagaimana itu didistribusikan?

CoinVault disebarkan melalui email yang berisi file PDF yang merupakan file yang dapat dieksekusi sebagai lampiran ZIP. File PDF ini berpura-pura menjadi faktur, pesanan pembelian, tagihan, keluhan, atau semacam komunikasi. Ketika korban mengklik dua kali pada PDF palsu, sistem terinfeksi oleh CoinVault dan malware akan diinstal di folder %AppData%\Microsoft\Windows .

Bagaimana itu bekerja?

Setelah CoinVault diinstal pada mesin, ia mulai memindai sistem untuk file data dan kemudian mengenkripsinya menggunakan enkripsi AES sehingga tidak dapat diakses. Setelah semua file dienkripsi, CoinVault menampilkan program CoinVault yang berisi informasi tentang file, jumlah tebusan, dan instruksi tentang bagaimana uang harus dibayarkan.

Jumlah tebusan bervariasi mulai dari 0,7 Bitcoin naik karena setiap jumlah 24 jam meningkat jika korban gagal melakukan pembayaran. Alamat Bitcoin berbeda untuk setiap mesin yang terinfeksi.

Catatan: CoinVault memungkinkan untuk mendekripsi satu file secara gratis untuk membuktikan apa yang dapat dilakukannya.

Bagaimana file didekripsi?

Saat file yang akan didekripsi dipilih, CoinVault mengunggah file tersebut ke server Command and Control, mendekripsinya, lalu mengirimkannya kembali ke mesin tempat permintaan dekripsi dikirim.

CoinVault bahkan mengubah wallpaper desktop Windows Anda menjadi "File Anda telah dienkripsi!"

Baca Juga : Semua Yang Perlu Anda Ketahui Tentang Spartacus Ransomware

Jenis file apa yang dienkripsi oleh CoinVault?

CoinVault mencari file tertentu di semua drive yang terhubung ke sistem Anda untuk dienkripsi. Ini berarti USB, drive eksternal, drive jaringan, dan bahkan layanan cloud berisiko. CoinVault akan mengenkripsi file yang diakhiri dengan ekstensi berikut:

Apa yang harus dilakukan ketika Anda mengetahui sistem Anda terinfeksi?

Ketika Anda mengetahui bahwa sistem Anda telah disusupi oleh CoinVault, Anda dapat melakukan 2 hal.

1. Bayar uang tebusan dan biarkan penyerang mendekripsi data Anda.
2. Pulihkan file Anda dengan memulihkan cadangan yang telah Anda ambil.

Bagaimana mencegah komputer Anda terinfeksi oleh CoinVault?

Untuk mencegah komputer Anda terinfeksi oleh CoinVault, Anda perlu membuat Kebijakan Pembatasan Perangkat Lunak, yang akan memblokir file yang dapat dieksekusi agar tidak berjalan ketika ditemukan di jalur tertentu. Untuk ini, Anda perlu menggunakan Grup Windows atau Editor Kebijakan Lokal.

Untuk menambahkan aturan pembatasan, ikuti langkah-langkah di bawah ini:

1. Klik tombol Mulai dan ketik Kebijakan Keamanan Lokal.

2. Sekarang di jendela baru yang terbuka di panel kiri, cari Kebijakan Pembatasan Perangkat Lunak.

3. Jika tidak ada kebijakan yang ditentukan, Anda perlu menambahkan kebijakan baru dengan mengklik kanan pada Kebijakan Pembatasan Perangkat Lunak.

4. Sekarang klik New Software Restriction Policies, untuk mengaktifkan kebijakan tersebut dan panel kanan akan terlihat seperti gambar di bawah ini:

5. Sekarang, klik kanan pada folder Aturan Tambahan yang ada di panel kanan dan pilih Aturan Jalur Baru. Ini akan memungkinkan Anda menambahkan Aturan Jalur.

Wajib Dibaca : Crypto Mining Adalah Ancaman Besar Berikutnya Setelah Ransomware

Entri yang perlu Anda tambahkan adalah sebagai berikut:

Untuk memblokir CoinVault yang dapat dieksekusi di %AppData%

Jalur: %AppData%\*.exe
Tingkat keamanan: Tidak diperbolehkan
Deskripsi: Jangan izinkan executable dijalankan dari %AppData%.

Untuk memblokir CoinVault yang dapat dieksekusi di %LocalAppData%

Jalur jika menggunakan Windows XP: %UserProfile%\Local Settings\*.exe
Jalur jika menggunakan Windows Vista/7/8: %LocalAppData%\*.exe
Tingkat Keamanan: Tidak diizinkan
Deskripsi: Jangan izinkan executable dijalankan dari %AppData%.

Untuk memblokir Zbot yang dapat dieksekusi di %AppData%

Jalur: %AppData%\*\*.exe
Tingkat Keamanan: Tidak diizinkan
Deskripsi: Jangan izinkan executable dijalankan dari subfolder langsung %AppData%.

Untuk memblokir Zbot yang dapat dieksekusi di %LocalAppData%

Jalur jika menggunakan Windows Vista/7/8: %LocalAppData%\*\*.exe
Tingkat Keamanan: Tidak diizinkan
Deskripsi: Jangan izinkan executable dijalankan dari subfolder langsung %AppData%.

Untuk memblokir executable yang dijalankan dari lampiran arsip yang dibuka dengan WinRAR:

Jalur jika menggunakan Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Jalur jika menggunakan Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Tingkat Keamanan: Tidak diizinkan
Deskripsi: Blok executable yang dijalankan dari lampiran arsip yang dibuka dengan WinRAR.

Untuk memblokir executable yang dijalankan dari lampiran arsip yang dibuka dengan 7zip:

Jalur jika menggunakan Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Tingkat Keamanan: Tidak diizinkan
Deskripsi: Blok executable yang dijalankan dari lampiran arsip yang dibuka dengan 7zip.

Untuk memblokir executable yang dijalankan dari lampiran arsip yang dibuka dengan WinZip:

Jalur jika menggunakan Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Tingkat Keamanan: Tidak diizinkan
Deskripsi: Blok executable yang dijalankan dari lampiran arsip yang dibuka dengan WinZip.

Blokir executable yang dijalankan dari lampiran arsip yang dibuka menggunakan dukungan Zip bawaan Windows:

Jalur jika menggunakan Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Tingkat Keamanan: Tidak diizinkan
Deskripsi: Blok executable yang dijalankan dari lampiran arsip yang dibuka menggunakan dukungan Zip bawaan Windows.

Catatan: Menggunakan saat Anda menambahkan jalur ini ke Kebijakan Pembatasan Perangkat Lunak, beberapa aplikasi yang sah mungkin berhenti berfungsi. Ini terjadi karena beberapa perusahaan tanpa sadar menginstal aplikasi mereka di bawah profil pengguna daripada di folder Program Files. Karena itu, Kebijakan Pembatasan Perangkat Lunak akan menghentikan aplikasi tersebut agar tidak berjalan.

Oleh karena itu, untuk menjalankan aplikasi tersebut, Anda perlu menambahkan Aturan Jalur menggunakan langkah-langkah yang dijelaskan di atas agar program dapat berjalan. Untuk melakukannya, Anda perlu membuat Aturan Jalur untuk program tertentu yang dapat dieksekusi dan mengatur Tingkat Keamanan ke Tidak Terbatas alih-alih Tidak Diizinkan.

Setelah Anda melakukannya, aplikasi yang ditentukan akan mulai berjalan.

Kami harap Anda menemukan artikel ini cukup informatif dan bermanfaat juga. Jika Anda memiliki pertanyaan, jangan ragu untuk menghubungi kami. Juga, silakan kirim umpan balik Anda, karena itu berharga bagi kami dan membantu kami memahami apa yang diharapkan pelanggan kami dari kami.