CoinVaultランサムウェアへの洞察

公開: 2018-08-04

ランサムウェアは厄介なマルウェアであり、手ごわい脅威であるという評判を維持しているという事実を否定することはできません。 日を追うごとにランサムウェアの脅威が高まっており、速度が低下する兆候はありません。

ランサムウェアは、組織だけでなく、個人、病院、そしてほとんどすべての業界にとって大きな脅威です。 通常、その大部分は、悪意のあるリンクをクリックしたり、侵害されたWebサイトにアクセスしたりするなどのユーザーアクションを通じて拡散します。

今日は、別の厄介なランサムウェアについて話し合います。 このランサムウェアが異なる唯一の点は、ユーザーが1つのファイルを復号化して、被害者が暗号化されたすべてのファイルを復号化できることを証明できることです。

CoinVaultとは何ですか?

CoinVaultは、CryptographicLockerファミリーの一部であるファイル暗号化ランサムウェアプログラムです。 他のランサムウェアプログラムとは異なり、支払いを行ったり、復号化機能をダウンロードしたりするために復号化サイトを使用しません。 代わりに、実行可能なマルウェアに復号化機能と支払いシステムが組み込まれています。

CoinVaultランサムウェア

どのように配布されますか?

CoinVaultは、ZIP添付ファイルとして実行可能ファイルであるPDFファイルを含む電子メールを介して拡散されます。 このPDFファイルは、請求書、発注書、請求書、苦情、または何らかの通信のふりをします。 被害者が偽のPDFをダブルクリックすると、システムはCoinVaultに感染し、マルウェアが%AppData%\ Microsoft \ Windowsフォルダーにインストールされます。

使い方?

CoinVaultがマシンにインストールされると、システムでデータファイルのスキャンが開始され、AES暗号化を使用して暗号化されてアクセスできないようになります。 すべてのファイルが暗号化されると、CoinVaultは、ファイル、身代金の金額、およびお金の支払い方法に関する指示を含むCoinVaultプログラムを表示します。

身代金の金額は0.7ビットコインから始まり、被害者が支払いを怠った場合、24時間ごとに金額が増えるにつれて増加します。 ビットコインアドレスは、感染したマシンごとに異なります。

注:CoinVaultでは、1回のファイルを無料で復号化して、何ができるかを証明できます。

ファイルはどのように復号化されますか?

復号化するファイルが選択されると、CoinVaultはファイルをコマンドアンドコントロールサーバーにアップロードし、復号化してから、復号化要求の送信元のマシンに送り返します。

CoinVaultは、Windowsデスクトップの壁紙を「ファイルが暗号化されました!」に変更します。

CoinVaultランサムウェア

また読む: Spartacusランサムウェアについて知っておくべきことすべて

CoinVaultによって暗号化されるファイルの種類は何ですか?

CoinVaultは、暗号化するためにシステムに接続されているすべてのドライブで特定のファイルを探します。 これは、USB、外付けドライブ、ネットワークドライブ、さらにはクラウドサービスも危険にさらされていることを意味します。 CoinVaultは、次の拡張子で終わるファイルを暗号化します。

.odt、.ods、.odp、.odm、.odc、.odb、.doc、.docx、.docm、.wps、.xls、.xlsx、.xlsm、.xlsb、.xlk、.ppt、.pptx 、.pptm、.mdb、.accdb、.pst、.dwg、.dxf、.dxg、.wpd、.rtf、.wb2、.mdf、.dbf、.psd、.pdd、.pdf、.eps、。 ai、.indd、.cdr、.dng、.3fr、.arw、.srf、.sr2、.mp3、.bay、.crw、.cr2、.dcr、.kdc、.erf、.mef、.mrw、 .nef、.nrw、.orf、.raf、.raw、.rwl、.rw2、.r3d、.ptx、.pef、.srw、.x3f、.der、.cer、.crt、.pem、.pfx 、.p12、.p7b、.p7c、.jpg、.png、.jfif、.jpeg、.gif、.bmp、.exif、.txt

システムが感染していることを知ったらどうしますか?

システムがCoinVaultによって侵害されていることを知ったら、2つのことができます。

  1. 身代金を支払い、攻撃者にデータを復号化させます。
  2. 作成したバックアップを復元して、ファイルを復元します。

コンピュータがCoinVaultに感染するのを防ぐ方法は?

コンピューターがCoinVaultに感染するのを防ぐには、ソフトウェア制限ポリシーを作成する必要があります。これにより、特定のパスで実行可能ファイルが見つかった場合に実行がブロックされます。 このためには、Windowsグループまたはローカルポリシーエディタのいずれかを使用する必要があります。

制限ルールを追加するには、以下の手順に従います。

1. [スタート]ボタンをクリックして、「ローカルセキュリティポリシー」と入力します。

2.次に、左側のペインで開いた新しいウィンドウで、[ソフトウェア制限ポリシー]を探します。

3.ポリシーが定義されていない場合は、[ソフトウェア制限ポリシー]を右クリックして新しいポリシーを追加する必要があります。

CoinVaultランサムウェア

4.次に、[新しいソフトウェア制限ポリシー]をクリックして、ポリシーを有効にします。右側のペインは次の画像のようになります。

CoinVaultランサムウェア

5.次に、右側のペインにある[追加のルール]フォルダーを右クリックして、[新しいパスルール]を選択します。 これにより、パスルールを追加できます。

CoinVaultランサムウェア

必読:暗号通貨マイニングはランサムウェアに続く次の大きな脅威です

追加する必要のあるエントリは次のとおりです。

%AppData%でCoinVault実行可能ファイルをブロックするには

パス: %AppData%\ *。exe
セキュリティレベル:許可されていません
説明:実行可能ファイルを%AppData%から実行することを許可しないでください。

%LocalAppData%でCoinVault実行可能ファイルをブロックするには

Windows XPを使用している場合のパス: %UserProfile%\ Local Settings \ *。exe
Windows Vista / 7/8を使用している場合のパス:%LocalAppData%\ *。exe
セキュリティレベル:許可されていません
説明:実行可能ファイルを%AppData%から実行することを許可しないでください。

%AppData%でZbot実行可能ファイルをブロックするには

パス: %AppData%\ * \ *。exe
セキュリティレベル:許可されていません
説明: %AppData%の直接のサブフォルダーから実行可能ファイルを実行することを許可しないでください。

%LocalAppData%でZbot実行可能ファイルをブロックするには

Windows Vista / 7/8を使用している場合のパス: %LocalAppData%\ * \ *。exe
セキュリティレベル:許可されていません
説明: %AppData%の直接のサブフォルダーから実行可能ファイルを実行することを許可しないでください。

WinRARで開いたアーカイブ添付ファイルから実行可能ファイルをブロックするには:

Windows XPを使用している場合のパス: %UserProfile%\ Local Settings \ Temp \ Rar * \ *。exe
Windows Vista / 7/8を使用している場合のパス:%LocalAppData%\ Temp \ Rar * \ *。exe
セキュリティレベル:許可されていません
説明: WinRARで開いたアーカイブ添付ファイルから実行されるブロック実行可能ファイル。

7zipで開いたアーカイブ添付ファイルから実行可能ファイルをブロックするには:

Windows Vista / 7/8を使用している場合のパス:%LocalAppData%\ Temp \ 7z * \ *。exe
セキュリティレベル:許可されていません
説明:7zipで開いたアーカイブ添付ファイルから実行されるブロック実行可能ファイル。

WinZipで開いたアーカイブ添付ファイルから実行可能ファイルをブロックするには:

Windows Vista / 7/8を使用している場合のパス: %LocalAppData%\ Temp \ wz * \ *。exe
セキュリティレベル:許可されていません
説明: WinZipで開いたアーカイブ添付ファイルから実行されるブロック実行可能ファイル。

ブロック実行可能ファイルは、Windowsの組み込みZipサポートを使用して開かれたアーカイブ添付ファイルから実行されます。

Windows Vista / 7/8を使用している場合のパス:%LocalAppData%\ Temp \ *。zip \ *。exe
セキュリティレベル:許可されていません
説明:ブロック実行可能ファイルは、Windowsの組み込みZipサポートを使用して開かれたアーカイブ添付ファイルから実行されます。

注:これらのパスをソフトウェア制限ポリシーに追加するときに使用すると、一部の正当なアプリケーションが機能しなくなる場合があります。 これは、一部の企業が、プログラムファイルフォルダではなく、ユーザーのプロファイルの下にアプリケーションを無意識のうちにインストールするために発生します。 このため、ソフトウェア制限ポリシーにより、これらのアプリケーションの実行が停止されます。

したがって、このようなアプリケーションを実行するには、上記の手順を使用してパスルールを追加し、プログラムを実行できるようにする必要があります。 これを行うには、その特定のプログラムの実行可能ファイルのパスルールを作成し、セキュリティレベルをDisallowedではなくUnrestrictedに設定する必要があります。

これを行うと、指定したアプリケーションの実行が開始されます。

この記事が十分に有益で役立つことを願っています。 ご不明な点がございましたら、お気軽にお問い合わせください。 また、フィードバックは私たちにとって価値があり、お客様が私たちに何を期待しているのかを理解するのに役立ちますので、フィードバックを送ってください。