Взгляд на программу-вымогатель CoinVault

Программа-вымогатель — вредоносное вредоносное ПО, которое распространяется, и нельзя отрицать тот факт, что оно сохранило свою репутацию серьезной угрозы. С каждым днем ​​угрозы программ-вымогателей растут, и нет никаких признаков того, что они замедляются.

Программа-вымогатель представляет собой серьезную угрозу не только для организаций, но и для отдельных лиц, больниц и практически для всех отраслей. Обычно большинство из них распространяется через действия пользователя, такие как переход по вредоносной ссылке, посещение взломанного веб-сайта и другие.

Сегодня мы собираемся обсудить еще одну неприятную программу-вымогатель. Единственное, что отличает эту программу-вымогатель, это то, что она позволяет пользователю расшифровать один файл, чтобы доказать, что жертва сможет расшифровать все зашифрованные файлы.

Что такое CoinVault?

CoinVault — программа для шифрования файлов, входящая в семейство Cryptographic Locker. В отличие от других программ-вымогателей, он не использует сайт расшифровки для осуществления платежей и загрузки расшифровщика. Вместо этого он имеет встроенную функцию расшифровки и платежную систему в исполняемое вредоносное ПО.

Как он распределяется?

CoinVault распространяется по электронной почте, содержащей PDF-файл, который является исполняемым файлом в виде вложения ZIP. Этот PDF-файл притворяется счетом-фактурой, заказом на покупку, счетом, жалобой или каким-то сообщением. Когда жертва дважды щелкает поддельный PDF-файл, система заражается CoinVault, и вредоносное ПО устанавливается в папку %AppData%\Microsoft\Windows .

Как это работает?

Как только CoinVault установлен на машине, он начинает сканировать систему на наличие файлов данных, а затем шифрует их с помощью шифрования AES, чтобы к ним нельзя было получить доступ. После того, как все файлы зашифрованы, CoinVault отображает программу CoinVault, содержащую информацию о файлах, сумме выкупа и инструкции о том, как нужно заплатить деньги.

Сумма выкупа варьируется, начиная с 0,7 биткойнов, и увеличивается, так как через каждые 24 часа сумма увеличивается, если жертва не может произвести платеж. Биткойн-адрес отличается для каждой зараженной машины.

Примечание. CoinVault позволяет бесплатно расшифровать файл один раз, чтобы доказать, на что он способен.

Как расшифровываются файлы?

Когда файл для расшифровки выбран, CoinVault загружает файл на свой сервер управления и контроля, расшифровывает его, а затем отправляет обратно на компьютер, с которого отправляется запрос на расшифровку.

CoinVault даже меняет обои рабочего стола Windows на «Ваши файлы зашифрованы!»

Читайте также: Все, что вам нужно знать о программе-вымогателе Spartacus

Какие типы файлов шифруются CoinVault?

CoinVault ищет определенные файлы на всех дисках, подключенных к вашей системе, для шифрования. Это означает, что USB, внешние диски, сетевые диски и даже облачные сервисы находятся под угрозой. CoinVault зашифрует файлы, заканчивающиеся следующими расширениями:

Что делать, если вы узнали, что ваша система заражена?

Когда вы узнаете, что ваша система была скомпрометирована CoinVault, вы можете сделать 2 вещи.

1. Заплатите выкуп и позвольте злоумышленникам расшифровать ваши данные.
2. Восстановите свои файлы, восстановив резервную копию, которую вы сделали.

Как предотвратить заражение вашего компьютера CoinVault?

Чтобы предотвратить заражение вашего компьютера CoinVault, вам необходимо создать Политики ограниченного использования программ, которые будут блокировать запуск исполняемых файлов, обнаруженных по определенному пути. Для этого вам нужно использовать редактор Windows Group или Local Policy Editor.

Чтобы добавить правило ограничения, выполните следующие действия:

1. Нажмите кнопку «Пуск» и введите «Локальная политика безопасности».

2. Теперь в новом окне, которое откроется на левой панели, найдите Политики ограниченного использования программ.

3. Если политика не определена, необходимо добавить новую политику, щелкнув правой кнопкой мыши Политики ограниченного использования программ.

4. Теперь нажмите «Новые политики ограниченного использования программ», чтобы включить политику, и правая панель будет выглядеть, как показано ниже:

5. Теперь щелкните правой кнопкой мыши папку «Дополнительные правила» на правой панели и выберите «Новое правило пути». Это позволит вам добавить правило пути.

Обязательно прочтите: крипто-майнинг — следующая большая угроза после программ-вымогателей

Записи, которые вам нужно добавить, следующие:

Чтобы заблокировать исполняемый файл CoinVault в %AppData%

Путь: %AppData%\*.exe
Уровень безопасности: Запрещено
Описание: Запрет запуска исполняемых файлов из %AppData%.

Чтобы заблокировать исполняемый файл CoinVault в %LocalAppData%

Путь при использовании Windows XP: %UserProfile%\Local Settings\*.exe
Путь при использовании Windows Vista/7/8: %LocalAppData%\*.exe
Уровень безопасности: Запрещено
Описание: Запрет запуска исполняемых файлов из %AppData%.

Чтобы заблокировать исполняемый файл Zbot в %AppData%

Путь: %AppData%\*\*.exe
Уровень безопасности: Запрещено
Описание. Запрещается запуск исполняемых файлов непосредственно из подпапок %AppData%.

Чтобы заблокировать исполняемый файл Zbot в %LocalAppData%

Путь при использовании Windows Vista/7/8: %LocalAppData%\*\*.exe
Уровень безопасности: Запрещено
Описание. Запрещается запуск исполняемых файлов непосредственно из подпапок %AppData%.

Чтобы заблокировать запуск исполняемых файлов из вложенных архивов, открытых с помощью WinRAR:

Путь при использовании Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Путь при использовании Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Уровень безопасности: Запрещено
Описание: Блочные исполняемые файлы запускаются из вложенных архивов, открытых с помощью WinRAR.

Чтобы заблокировать запуск исполняемых файлов из вложенных архивов, открытых с помощью 7zip:

Путь при использовании Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Уровень безопасности: Запрещено
Описание: Блочные исполняемые файлы запускаются из вложенных архивов, открытых с помощью 7zip.

Чтобы заблокировать запуск исполняемых файлов из вложенных архивов, открытых с помощью WinZip:

Путь при использовании Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Уровень безопасности: Запрещено
Описание: Блочные исполняемые файлы запускаются из вложенных архивов, открытых с помощью WinZip.

Блокировать исполняемые файлы, запускаемые из вложенных архивов, открытых с помощью встроенной в Windows поддержки Zip:

Путь при использовании Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Уровень безопасности: Запрещено
Описание: блочные исполняемые файлы запускаются из вложенных архивов, открытых с помощью встроенной в Windows поддержки Zip.

Примечание. При добавлении этих путей в политики ограниченного использования программ некоторые законные приложения могут перестать работать. Это происходит потому, что некоторые компании по незнанию устанавливают свои приложения под профилем пользователя, а не в папку Program Files. В связи с этим политики ограниченного использования программ остановят запуск этих приложений.

Поэтому, чтобы запустить такие приложения, вам нужно будет добавить правило пути, используя шаги, описанные выше, чтобы разрешить запуск программы. Для этого вам нужно создать правило пути для исполняемого файла этой конкретной программы и установить для уровня безопасности значение «Неограниченный» вместо «Запрещенный».

Как только вы это сделаете, указанные приложения начнут работать.

Мы надеемся, что вы найдете эту статью достаточно информативной и полезной. Если у вас есть какие-либо вопросы, пожалуйста, свяжитесь с нами. Также, пожалуйста, присылайте свои отзывы, так как они ценны для нас и помогают нам понять, чего ждут от нас наши клиенты.