CoinVault Fidye Yazılımına Bir Bakış
Yayınlanan: 2018-08-04Fidye yazılımı kötü bir kötü amaçlı yazılım parçası etrafında dönüyor ve zorlu bir tehdit olma itibarını koruduğu gerçeği inkar edilemez. Her geçen gün fidye yazılımı tehditleri artıyor ve yavaşladıklarına dair bir işaret yok.
Fidye yazılımlar yalnızca kuruluşlar için değil, bireyler, hastaneler ve neredeyse tüm sektörler için büyük bir tehdittir. Genellikle çoğu, kötü amaçlı bağlantıya tıklamak, güvenliği ihlal edilmiş bir web sitesini ziyaret etmek ve diğerleri gibi kullanıcı eylemleri yoluyla yayılır.
Bugün, başka bir kötü fidye yazılımı hakkında tartışacağız. Bu fidye yazılımını farklı kılan tek şey, kurbanın şifrelenmiş tüm dosyaların şifresini çözebileceğini kanıtlamak için kullanıcının bir dosyanın şifresini çözmesine izin vermesidir.
CoinVault nedir?
CoinVault, Cryptographic Locker ailesinin bir parçası olan bir dosya şifreleme fidye yazılımı programıdır. Diğer fidye yazılımı programlarından farklı olarak, ödeme yapmak ve şifre çözücü indirmek için şifre çözme sitesi kullanmaz. Bunun yerine yerleşik bir şifre çözme işlevine ve yürütülebilir kötü amaçlı yazılıma ödeme sistemine sahiptir.
Nasıl dağıtılır?
CoinVault, ZIP eki olarak yürütülebilir bir dosya olan bir PDF dosyası içeren e-postalar aracılığıyla yayılır. Bu PDF dosyası bir fatura, satın alma siparişi, fatura, şikayet veya bir tür iletişim gibi görünüyor. Kurban sahte PDF'ye çift tıkladığında, sisteme CoinVault bulaşır ve kötü amaçlı yazılım %AppData%\Microsoft\Windows klasörüne yüklenir.
Nasıl çalışır?
CoinVault makineye yüklendikten sonra, sistemi veri dosyaları için taramaya başlar ve ardından erişilemeyecek şekilde AES şifrelemesi kullanarak bunları şifreler. Tüm dosyalar şifrelendikten sonra CoinVault, dosyalar, fidye miktarı ve paranın nasıl ödenmesi gerektiğine ilişkin talimatları içeren CoinVault programını görüntüler.
Fidye miktarı 0,7 Bitcoin'den başlayarak değişiyor, kurbanın ödemeyi yapmaması durumunda her 24 saatlik tutarın artmasıyla artıyor. Bitcoin adresi, virüslü her makine için farklıdır.
Not: CoinVault, bir kez dosyanın ne yapabileceğini kanıtlamak için ücretsiz olarak şifresinin çözülmesine izin verir.
Dosyaların şifresi nasıl çözülür?
Şifresi çözülecek dosya seçildiğinde, CoinVault dosyayı Komuta ve Kontrol sunucusuna yükler, şifresini çözer ve ardından şifre çözme talebinin gönderildiği makineye geri gönderir.
CoinVault, Windows masaüstü duvar kağıdınızı bile “Dosyalarınız şifrelendi!” olarak değiştirir.
Ayrıca Okuyun: Spartacus Fidye Yazılımı Hakkında Bilmeniz Gereken Her Şey
CoinVault tarafından hangi dosya türleri şifrelenir?
CoinVault, şifrelemek için sisteminize bağlı tüm sürücülerdeki belirli dosyaları arar. Bu, USB, harici sürücüler, ağ sürücüleri ve hatta bulut hizmetlerinin risk altında olduğu anlamına gelir. CoinVault, aşağıdaki uzantılarla biten dosyaları şifreler:
| .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx , .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, . ai, .indd, .cdr, .dng, .3fr, .arw, .srf, .sr2, .mp3, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx , .p12, .p7b, .p7c, .jpg, .png, .jfif, .jpeg, .gif,.bmp, .exif, .txt |
Sisteminize virüs bulaştığını öğrendiğinizde ne yapmalısınız?
Sisteminizin CoinVault tarafından ele geçirildiğini öğrendiğinizde 2 şey yapabilirsiniz.
- Fidye ödeyin ve saldırganların verilerinizin şifresini çözmesine izin verin.
- Aldığınız yedeği geri yükleyerek dosyalarınızı geri yükleyin.
Bilgisayarınıza CoinVault bulaşmasını nasıl önleyebilirsiniz?
Bilgisayarınıza CoinVault bulaşmasını önlemek için, belirli bir yolda bulunduğunda yürütülebilir dosyaların çalışmasını engelleyen Yazılım Kısıtlama İlkeleri oluşturmanız gerekir. Bunun için Windows Grubu veya Yerel İlke Düzenleyicisi kullanmanız gerekir.
Kısıtlama kuralı eklemek için aşağıdaki adımları izleyin:
1. Başlat düğmesine tıklayın ve Yerel Güvenlik Politikası yazın.
2. Şimdi sol bölmede açılan yeni pencerede Yazılım Kısıtlama İlkelerini arayın.
3. Herhangi bir politika tanımlanmadıysa, Yazılım Kısıtlama Politikaları'na sağ tıklayarak yeni bir politika eklemeniz gerekir.
4. Şimdi, politikayı etkinleştirmek için Yeni Yazılım Kısıtlama İlkeleri'ne tıklayın ve sağ bölme aşağıdaki resim gibi görünecektir:
5. Şimdi, sağ bölmede bulunan Ek Kurallar klasörüne sağ tıklayın ve Yeni Yol Kuralı'nı seçin. Bu, bir Yol Kuralı eklemenize izin verecektir.
Mutlaka Okuyun : Kripto Madenciliği Fidye Yazılımından Sonra Sonraki Büyük Tehdit
Eklemeniz gereken girişler aşağıdaki gibidir:
%AppData% içinde CoinVault yürütülebilir dosyasını engellemek için
Yol: %AppData%\*.exe
Güvenlik Düzeyi: İzin Verilmiyor
Açıklama: Yürütülebilir dosyaların %AppData%'dan çalıştırılmasına izin vermeyin.
%LocalAppData% içinde CoinVault yürütülebilir dosyasını engellemek için
Windows XP kullanılıyorsa yol: %UserProfile%\Local Settings\*.exe
Windows Vista/7/8 kullanılıyorsa yol: %LocalAppData%\*.exe
Güvenlik Seviyesi: İzin Verilmiyor
Açıklama: Yürütülebilir dosyaların %AppData%'dan çalıştırılmasına izin vermeyin.
%AppData% içinde yürütülebilir Zbot'u engellemek için
Yol: %AppData%\*\*.exe
Güvenlik Seviyesi: İzin Verilmiyor
Açıklama: Yürütülebilir dosyaların %AppData%'nın hemen alt klasörlerinden çalıştırılmasına izin vermeyin.
%LocalAppData% içinde yürütülebilir Zbot'u engellemek için
Windows Vista/7/8 kullanılıyorsa yol: %LocalAppData%\*\*.exe
Güvenlik Seviyesi: İzin Verilmiyor
Açıklama: Yürütülebilir dosyaların %AppData%'nın hemen alt klasörlerinden çalıştırılmasına izin vermeyin.
WinRAR ile açılan arşiv eklerinden çalıştırılabilir dosyaları engellemek için:
Windows XP kullanılıyorsa yol: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Windows Vista/7/8 kullanılıyorsa yol: %LocalAppData%\Temp\Rar*\*.exe
Güvenlik Seviyesi: İzin Verilmiyor
Açıklama: WinRAR ile açılan arşiv eklerinden çalıştırılan yürütülebilir dosyaları engelle.
7zip ile açılan arşiv eklerinden çalıştırılabilir dosyaları engellemek için:
Windows Vista/7/8 kullanılıyorsa yol: %LocalAppData%\Temp\7z*\*.exe
Güvenlik Seviyesi: İzin Verilmiyor
Açıklama: 7zip ile açılan arşiv eklerinden çalıştırılan yürütülebilir dosyaları engelle.
WinZip ile açılan arşiv eklerinden çalıştırılabilir dosyaları engellemek için:
Windows Vista/7/8 kullanılıyorsa yol: %LocalAppData%\Temp\wz*\*.exe
Güvenlik Seviyesi: İzin Verilmiyor
Açıklama: WinZip ile açılan arşiv eklerinden çalıştırılan yürütülebilir dosyaları engelleyin.
Windows yerleşik Zip desteği kullanılarak açılan arşiv eklerinden çalıştırılan yürütülebilir dosyaları engelleyin:
Windows Vista/7/8 kullanılıyorsa yol: %LocalAppData%\Temp\*.zip\*.exe
Güvenlik Seviyesi: İzin Verilmiyor
Açıklama: Windows yerleşik Zip desteği kullanılarak açılan arşiv eklerinden çalıştırılan yürütülebilir dosyaları engelleyin.
Not: Bu yolları Yazılım Kısıtlama İlkelerine eklediğinizde, bazı meşru uygulamalar çalışmayı durdurabilir. Bu, bazı şirketlerin uygulamalarını bilmeden Program Dosyaları klasörü yerine bir kullanıcının profili altına kurmasıyla olur. Bu nedenle, Yazılım Kısıtlama İlkeleri bu uygulamaların çalışmasını durduracaktır.
Bu nedenle, bu tür uygulamaları çalıştırmak için, programın çalışmasına izin vermek için yukarıda açıklanan adımları kullanarak bir Yol Kuralı eklemeniz gerekecektir. Bunu yapmak için, söz konusu programın yürütülebilir dosyası için bir Yol Kuralı oluşturmanız ve Güvenlik Düzeyini İzin Verilmeyen yerine Kısıtlamasız olarak ayarlamanız gerekir.
Bunu yaptığınızda, belirtilen uygulamalar çalışmaya başlayacaktır.
Bu makaleyi de yeterince bilgilendirici ve faydalı bulacağınızı umuyoruz. Herhangi bir sorunuz varsa, lütfen bizimle iletişime geçmekten çekinmeyin. Ayrıca, bizim için değerli olan ve müşterilerimizin bizden ne beklediğini anlamamıza yardımcı olan görüşlerinizi lütfen bize iletin.