ข้อมูลเชิงลึกเกี่ยวกับ CoinVault Ransomware

เผยแพร่แล้ว: 2018-08-04

Ransomware มัลแวร์ที่น่ารังเกียจกำลังก่อตัว และไม่มีใครปฏิเสธความจริงที่ว่ามันยังคงรักษาชื่อเสียงของการเป็นภัยคุกคามที่น่าเกรงขาม ในแต่ละวันที่ผ่านไป ภัยคุกคามจากแรนซัมแวร์ก็เพิ่มขึ้น และไม่มีวี่แววว่าจะชะลอตัวลง

แรนซัมแวร์เป็นภัยคุกคามที่สำคัญไม่เพียงแต่สำหรับองค์กรเท่านั้น แต่สำหรับบุคคล โรงพยาบาล และเกือบทุกอุตสาหกรรม โดยปกติแล้ว ส่วนใหญ่จะแพร่กระจายผ่านการกระทำของผู้ใช้ เช่น การคลิกลิงก์ที่เป็นอันตราย การเยี่ยมชมเว็บไซต์ที่ถูกบุกรุก และอื่นๆ

วันนี้เราจะมาพูดถึงเรื่องแรนซัมแวร์ตัวอื่นที่น่ารังเกียจ สิ่งเดียวที่ทำให้แรนซัมแวร์นี้แตกต่างออกไปคือ มันช่วยให้ผู้ใช้ถอดรหัสไฟล์หนึ่งไฟล์เพื่อพิสูจน์ว่าเหยื่อจะสามารถถอดรหัสไฟล์ทั้งหมดที่เข้ารหัสทั้งหมดได้

CoinVault คืออะไร?

CoinVault ไฟล์เข้ารหัสโปรแกรมแรนซัมแวร์ ซึ่งเป็นส่วนหนึ่งของตระกูล Cryptographic Locker ไม่เหมือนกับโปรแกรม ransomware อื่น ๆ มันไม่ใช้ไซต์ถอดรหัสเพื่อชำระเงินและดาวน์โหลดตัวถอดรหัสลับ แต่กลับมีฟังก์ชันการถอดรหัสและระบบการชำระเงินที่ฝังอยู่ในมัลแวร์ที่ปฏิบัติการได้

CoinVault Ransomware

มีการกระจายอย่างไร?

CoinVault แพร่กระจายผ่านอีเมลที่มีไฟล์ PDF ซึ่งเป็นไฟล์ปฏิบัติการเป็นไฟล์แนบ ZIP ไฟล์ PDF นี้อ้างว่าเป็นใบแจ้งหนี้ ใบสั่งซื้อ ใบเรียกเก็บเงิน ข้อร้องเรียน หรือการสื่อสารบางประเภท เมื่อเหยื่อคลิกสองครั้งที่ไฟล์ PDF ปลอม ระบบจะติด CoinVault และมัลแวร์จะถูกติดตั้งใน โฟลเดอร์ %AppData%\Microsoft\Windows

มันทำงานอย่างไร?

เมื่อติดตั้ง CoinVault บนเครื่องแล้ว จะเริ่มสแกนระบบเพื่อหาไฟล์ข้อมูล จากนั้นเข้ารหัสโดยใช้การเข้ารหัส AES เพื่อไม่ให้เข้าถึงได้ เมื่อไฟล์ทั้งหมดถูกเข้ารหัสแล้ว CoinVault จะแสดงโปรแกรม CoinVault ที่มีข้อมูลเกี่ยวกับไฟล์ จำนวนเงินค่าไถ่ และคำแนะนำเกี่ยวกับวิธีการชำระเงิน

จำนวนเงินค่าไถ่แตกต่างกันไปเริ่มต้นจาก 0.7 Bitcoins จะเพิ่มขึ้นตามหลังจากแต่ละ 24 ชั่วโมงจำนวนเงินจะเพิ่มขึ้นหากเหยื่อล้มเหลวในการชำระเงิน ที่อยู่ Bitcoin นั้นแตกต่างกันสำหรับเครื่องที่ติดไวรัสแต่ละเครื่อง

หมายเหตุ: CoinVault อนุญาตให้ถอดรหัสเมื่อไฟล์ฟรีเพื่อพิสูจน์ว่าสามารถทำอะไรได้บ้าง

ไฟล์ถูกถอดรหัสอย่างไร?

เมื่อไฟล์ที่จะถอดรหัสถูกเลือก CoinVault จะอัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ Command and Control ถอดรหัสแล้วส่งกลับไปยังเครื่องที่ส่งคำขอถอดรหัสลับ

CoinVault จะเปลี่ยนวอลเปเปอร์เดสก์ท็อป Windows ของคุณเป็น "ไฟล์ของคุณได้รับการเข้ารหัสแล้ว!"

CoinVault Ransomware

อ่านเพิ่มเติม : สิ่งที่คุณต้องรู้เกี่ยวกับ Spartacus Ransomware

ไฟล์ประเภทใดที่ CoinVault เข้ารหัส?

CoinVault จะค้นหาไฟล์เฉพาะบนไดรฟ์ทั้งหมดที่เชื่อมต่อกับระบบของคุณเพื่อเข้ารหัส ซึ่งหมายความว่า USB, ไดรฟ์ภายนอก, ไดรฟ์เครือข่าย และแม้แต่บริการคลาวด์มีความเสี่ยง CoinVault จะเข้ารหัสไฟล์ที่ลงท้ายด้วยนามสกุลต่อไปนี้:

.odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx , .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, . ai, .indd, .cdr, .dng, .3fr, .arw, .srf, .sr2, .mp3, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx , .p12, .p7b, .p7c, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt

จะทำอย่างไรเมื่อคุณรู้ว่าระบบของคุณติดไวรัส?

เมื่อคุณได้รู้ว่าระบบของคุณถูกบุกรุกโดย CoinVault คุณสามารถทำได้ 2 อย่าง

  1. จ่ายค่าไถ่และปล่อยให้ผู้โจมตีถอดรหัสข้อมูลของคุณ
  2. กู้คืนไฟล์ของคุณโดยกู้คืนข้อมูลสำรองที่คุณถ่าย

จะป้องกันคอมพิวเตอร์ของคุณจากการติด CoinVault ได้อย่างไร?

เพื่อป้องกันไม่ให้คอมพิวเตอร์ของคุณติดไวรัสจาก CoinVault คุณต้องสร้างนโยบายการจำกัดซอฟต์แวร์ ซึ่งจะบล็อกไฟล์ปฏิบัติการไม่ให้ทำงานเมื่อพบในพาธเฉพาะ สำหรับสิ่งนี้ คุณต้องใช้ Windows Group หรือ Local Policy Editor

หากต้องการเพิ่มกฎข้อจำกัด ให้ทำตามขั้นตอนด้านล่าง:

1. คลิกปุ่ม Start และพิมพ์ Local Security Policy

2. ในหน้าต่างใหม่ที่เปิดขึ้นในบานหน้าต่างด้านซ้าย ให้มองหา Software Restriction Policies

3. หากไม่มีการกำหนดนโยบาย คุณจะต้องเพิ่มนโยบายใหม่โดยคลิกขวาที่นโยบายการจำกัดซอฟต์แวร์

CoinVault Ransomware

4. ตอนนี้ คลิกที่ New Software Restriction Policies เพื่อเปิดใช้งานนโยบายและบานหน้าต่างด้านขวาจะมีลักษณะเป็นภาพด้านล่าง:

CoinVault Ransomware

5. ตอนนี้ ให้คลิกขวาที่โฟลเดอร์ กฎเพิ่มเติม ที่อยู่ในบานหน้าต่างด้านขวาและเลือก กฎเส้นทางใหม่ นี้จะช่วยให้คุณเพิ่มกฎเส้นทาง

CoinVault Ransomware

ต้องอ่าน : การขุด Crypto เป็นภัยคุกคามครั้งต่อไปหลังจาก Ransomware

รายการที่คุณต้องเพิ่มมีดังนี้:

ในการบล็อกการเรียกใช้งานได้ของ CoinVault ใน %AppData%

เส้นทาง: %AppData%\*.exe
ระดับความปลอดภัย: ไม่อนุญาต
คำอธิบาย: ไม่อนุญาตให้เรียกใช้โปรแกรมเรียกทำงานจาก %AppData%

ในการบล็อกการเรียกใช้งานได้ของ CoinVault ใน %LocalAppData%

เส้นทางหากใช้ Windows XP: %UserProfile%\Local Settings\*.exe
เส้นทางหากใช้ Windows Vista/7/8: %LocalAppData%\*.exe
ระดับความปลอดภัย: ไม่อนุญาต
คำอธิบาย: ไม่อนุญาตให้เรียกใช้โปรแกรมเรียกทำงานจาก %AppData%

ในการบล็อก Zbot ที่ปฏิบัติการได้ใน %AppData%

เส้นทาง: %AppData%\*\*.exe
ระดับความปลอดภัย: ไม่อนุญาต
คำอธิบาย: ไม่อนุญาตให้เรียกใช้งานจากโฟลเดอร์ย่อยในทันทีของ %AppData%

ในการบล็อก Zbot ที่ปฏิบัติการได้ใน %LocalAppData%

เส้นทางหากใช้ Windows Vista/7/8: %LocalAppData%\*\*.exe
ระดับความปลอดภัย: ไม่อนุญาต
คำอธิบาย: ไม่อนุญาตให้เรียกใช้งานจากโฟลเดอร์ย่อยในทันทีของ %AppData%

วิธีบล็อกโปรแกรมเรียกทำงานจากไฟล์แนบที่เก็บถาวรที่เปิดด้วย WinRAR:

เส้นทางหากใช้ Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
เส้นทางหากใช้ Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
ระดับความปลอดภัย: ไม่อนุญาต
คำอธิบาย: บล็อกปฏิบัติการเรียกใช้จากไฟล์แนบที่เก็บถาวรที่เปิดด้วย WinRAR

วิธีบล็อกไฟล์เรียกทำงานที่เรียกใช้จากไฟล์แนบที่เก็บถาวรที่เปิดด้วย 7zip:

เส้นทางหากใช้ Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
ระดับความปลอดภัย: ไม่อนุญาต
คำอธิบาย: บล็อกไฟล์เรียกทำงานที่ทำงานจากไฟล์แนบที่เก็บถาวรที่เปิดด้วย 7zip

วิธีบล็อกโปรแกรมเรียกทำงานจากไฟล์แนบที่เก็บถาวรที่เปิดด้วย WinZip:

เส้นทางหากใช้ Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
ระดับความปลอดภัย: ไม่อนุญาต
คำอธิบาย: บล็อกปฏิบัติการเรียกใช้จากไฟล์แนบที่เก็บถาวรที่เปิดด้วย WinZip

บล็อกโปรแกรมเรียกทำงานจากไฟล์แนบที่เก็บถาวรที่เปิดโดยใช้การสนับสนุน Zip ในตัวของ Windows:

เส้นทางหากใช้ Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
ระดับความปลอดภัย: ไม่อนุญาต
คำอธิบาย: บล็อกโปรแกรมเรียกทำงานจากไฟล์แนบที่เก็บถาวรที่เปิดโดยใช้การสนับสนุน Zip ในตัวของ Windows

หมายเหตุ: การใช้เมื่อคุณเพิ่มพาธเหล่านี้ไปยังนโยบายการจำกัดซอฟต์แวร์ แอพพลิเคชั่นที่ถูกกฎหมายบางตัวอาจหยุดทำงาน กรณีนี้เกิดขึ้นเนื่องจากบางบริษัทติดตั้งแอปพลิเคชันของตนโดยไม่รู้ตัวภายใต้โปรไฟล์ของผู้ใช้ แทนที่จะติดตั้งในโฟลเดอร์ Program Files ด้วยเหตุนี้ นโยบายการจำกัดซอฟต์แวร์จะหยุดการทำงานของแอปพลิเคชันเหล่านั้น

ดังนั้น เพื่อให้แอปพลิเคชันดังกล่าวทำงาน คุณจะต้องเพิ่ม Path Rule โดยใช้ขั้นตอนที่อธิบายไว้ข้างต้นเพื่อให้โปรแกรมทำงานได้ ในการดำเนินการดังกล่าว คุณต้องสร้าง Path Rule สำหรับโปรแกรมสั่งการนั้น ๆ และตั้งค่าระดับความปลอดภัยเป็นไม่จำกัด แทนที่จะเป็น Disallowed

เมื่อคุณทำเช่นนั้น แอปพลิเคชันที่ระบุจะเริ่มทำงาน

เราหวังว่าคุณจะพบว่าบทความนี้มีข้อมูลเพียงพอและมีประโยชน์เช่นกัน หากคุณมีคำถามใด ๆ โปรดอย่าลังเลที่จะติดต่อเรา นอกจากนี้ โปรดส่งความคิดเห็นของคุณ เนื่องจากสิ่งนี้มีค่าสำหรับเรา และช่วยให้เราเข้าใจว่าลูกค้าคาดหวังอะไรจากเรา