O perspectivă asupra ransomware-ului CoinVault
Publicat: 2018-08-04Ransomware-ul, o piesă neplăcută de malware, îl face în jur și nu se poate nega faptul că și-a păstrat reputația de a fi o amenințare formidabilă. Cu fiecare zi care trece, amenințările ransomware cresc și nu există niciun semn că ar încetini.
Ransomware-ul este o amenințare majoră nu numai pentru organizații, ci și pentru persoane fizice, spitale și aproape pentru toate industriile. De obicei, cea mai mare parte este răspândită prin acțiuni ale utilizatorului, cum ar fi clic pe un link rău intenționat, vizitarea unui site web compromis și altele.
Astăzi, vom discuta despre un alt ransomware urât. Singurul lucru care face ca acest ransomware să fie diferit este că permite utilizatorului să decripteze un fișier pentru a dovedi că victima va putea decripta toate fișierele criptate.
Ce este CoinVault?
CoinVault un program ransomware de criptare a fișierelor, parte a familiei Cryptographic Locker. Spre deosebire de alt program ransomware, acesta nu folosește un site de decriptare pentru a efectua plăți și a descărca decriptor. În schimb, are o funcționalitate de decriptare încorporată și un sistem de plată în programul malware executabil.
Cum se distribuie?
CoinVault este răspândit prin e-mailuri care conține un fișier PDF care este un fișier executabil ca atașament ZIP. Acest fișier PDF se pretinde a fi o factură, o comandă de achiziție, o factură, o plângere sau un fel de comunicare. Când victima face dublu clic pe PDF-ul fals, sistemul este infectat de CoinVault și malware-ul este instalat în folderul %AppData%\Microsoft\Windows .
Cum functioneaza?
Odată ce CoinVault este instalat pe aparat, acesta începe să scaneze sistemul pentru fișiere de date și apoi le criptează folosind criptarea AES, astfel încât să nu poată fi accesate. Odată ce toate fișierele sunt criptate, CoinVault afișează programul CoinVault care conține informații despre fișiere, suma răscumpărării și instrucțiuni despre cum trebuie plătiți banii.
Suma de răscumpărare variază începând de la 0,7 Bitcoin și crește, deoarece după fiecare sumă de 24 de ore este crescută dacă victima nu face plata. Adresa Bitcoin este diferită pentru fiecare mașină infectată.
Notă: CoinVault permite decriptarea gratuită a fișierului o singură dată pentru a demonstra ce poate face.
Cum sunt decriptate fișierele?
Când este selectat fișierul de decriptat, CoinVault încarcă fișierul pe serverul său de comandă și control, îl decriptează și apoi îl trimite înapoi la mașina de la care este trimisă cererea de decriptare.
CoinVault chiar schimbă imaginea de fundal a desktopului Windows la „Fișierele tale au fost criptate!”
Citește și: Tot ce trebuie să știi despre Spartacus Ransomware
Ce tipuri de fișiere sunt criptate de CoinVault?
CoinVault caută fișiere specifice pe toate unitățile conectate la sistemul dvs. pentru a le cripta. Aceasta înseamnă că USB, unitățile externe, unitățile de rețea și chiar serviciile cloud sunt în pericol. CoinVault va cripta fișierele care se termină cu următoarele extensii:
| .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx , .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, . ai, .indd, .cdr, .dng, .3fr, .arw, .srf, .sr2, .mp3, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx , .p12, .p7b, .p7c, .jpg, .png, .jfif, .jpeg, .gif,.bmp, .exif, .txt |
Ce să faci când știi că sistemul tău este infectat?
Când afli că sistemul tău a fost compromis de CoinVault, poți face două lucruri.
- Plătiți răscumpărarea și lăsați atacatorii să vă decripteze datele.
- Restaurați-vă fișierele restabilind copia de rezervă pe care ați făcut-o.
Cum să preveniți infectarea computerului cu CoinVault?
Pentru a preveni infectarea computerului cu CoinVault, trebuie să creați Politici de restricție software, care vor bloca rularea fișierelor executabile atunci când sunt găsite într-o anumită cale. Pentru aceasta, trebuie să utilizați fie Windows Group, fie Local Policy Editor.
Pentru a adăuga o regulă de restricție, urmați pașii de mai jos:
1. Faceți clic pe butonul Start și tastați Local Security Policy.
2. Acum, în fereastra nouă care se deschide în panoul din stânga, căutați Politici de restricție software.
3. Dacă nu este definită nicio politică, trebuie să adăugați o nouă politică făcând clic dreapta pe Politici de restricție software.
4. Acum faceți clic pe New Software Restriction Policies, pentru a activa politica, iar panoul din dreapta va arăta ca imaginea de mai jos:
5. Acum, faceți clic dreapta pe folderul Reguli suplimentare prezent în panoul din dreapta și selectați New Path Rule. Acest lucru vă va permite să adăugați o regulă de cale.
Trebuie citit: Crypto Mining este următoarea mare amenințare după ransomware
Intrările pe care trebuie să le adăugați sunt următoarele:
Pentru a bloca executabilul CoinVault în %AppData%
Calea: %AppData%\*.exe
Nivel de securitate: Nepermis
Descriere: nu permiteți executabilelor să ruleze din %AppData%.
Pentru a bloca executabilul CoinVault în %LocalAppData%
Calea dacă utilizați Windows XP: %UserProfile%\Local Settings\*.exe
Calea dacă utilizați Windows Vista/7/8: %LocalAppData%\*.exe
Nivel de securitate: Nepermis
Descriere: nu permiteți executabilelor să ruleze din %AppData%.
Pentru a bloca executabilul Zbot în %AppData%
Cale: %AppData%\*\*.exe
Nivel de securitate: Nepermis
Descriere: nu permiteți executabilelor să ruleze din subfolderele imediate ale %AppData%.
Pentru a bloca executabilul Zbot în %LocalAppData%
Calea dacă utilizați Windows Vista/7/8: %LocalAppData%\*\*.exe
Nivel de securitate: Nepermis
Descriere: nu permiteți executabilelor să ruleze din subfolderele imediate ale %AppData%.
Pentru a bloca executabilele executate din atașamentele de arhivă deschise cu WinRAR:
Cale dacă utilizați Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Calea dacă utilizați Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Nivel de securitate: Nepermis
Descriere: executabilele bloc rulate din atașamentele arhivei deschise cu WinRAR.
Pentru a bloca executabilele executate din atașamentele arhivei deschise cu 7zip:
Calea dacă utilizați Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Nivel de securitate: Nepermis
Descriere: executabilele blocate rulează din atașamentele arhivei deschise cu 7zip.
Pentru a bloca executabilele executate din atașamentele de arhivă deschise cu WinZip:
Calea dacă utilizați Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Nivel de securitate: Nepermis
Descriere: executabilele blocate rulează din atașamentele arhivei deschise cu WinZip.
Blocați executabilele rulate din atașamentele de arhivă deschise folosind suportul Zip încorporat în Windows:
Calea dacă utilizați Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Nivel de securitate: Nepermis
Descriere: executabilele blocate rulează din atașamentele arhivei deschise folosind suportul Zip încorporat în Windows.
Notă: Folosind atunci când adăugați aceste căi la Politicile de restricție software, unele aplicații legitime pot înceta să funcționeze. Acest lucru se întâmplă deoarece unele companii își instalează fără să știe aplicațiile sub profilul unui utilizator, mai degrabă decât în folderul Fișiere program. Din acest motiv, politicile de restricție software vor opri rularea acelor aplicații.
Prin urmare, pentru a face astfel de aplicații să ruleze, va trebui să adăugați o regulă de cale folosind pașii descriși mai sus pentru a permite programului să ruleze. Pentru a face acest lucru, trebuie să creați o regulă de cale pentru executabilul acelui program și să setați Nivelul de securitate la Nerestricționat în loc de Nepermis.
Odată ce faceți acest lucru, aplicațiile specificate vor începe să ruleze.
Sperăm că veți găsi acest articol suficient de informativ și de util. Dacă aveți întrebări, vă rugăm să nu ezitați să ne contactați. De asemenea, vă rugăm să trimiteți feedback-ul dvs., deoarece este valoros pentru noi și ne ajută să înțelegem ce așteaptă clienții noștri de la noi.