Tidak mengherankan, penjahat cyber memasukkan kata “coronavirus” ke dalam perangkat lunak berbahaya mereka. Sejak pandemi COVID-19 dimulai awal tahun ini, berbagai malware muncul dengan kata “coronavirus” di dalamnya. Salah satu contohnya adalah CoronaVirus Ransomware . Sebagai ransomware, itu cukup mudah, ia masuk ke komputer, mengenkripsi file, dan menuntut korban membayar tebusan untuk mendapatkan dekripsi. Namun, bersama dengan CoronaVirus Ransomware datangnya trojan KPOT. KPOT adalah trojan terkenal yang berfokus pada pencurian data sensitif pengguna, seperti kredensial login.
Spread CoronaVirus Ransomware melalui halaman utilitas sistem palsu
Ransomware dan trojan ini didistribusikan melalui halaman untuk program pengoptimalan sistem Windows palsu WiseCleaner. Situs ini mendistribusikan file berbahaya yang disebut WSHSetup.exe, yang pada dasarnya adalah pengunduh CoronaVirus Ransomware untuk KPOT trojan dan pencurian data. Jika pengguna menjalankan file, file akan mengunduh file1.exe dan file2.exe.
Tidak jelas bagaimana tepatnya pengguna akan berakhir di halaman yang mendistribusikan file berbahaya. Ada kemungkinan pengguna dapat menemukan tautan ke sana di berbagai forum, atau diarahkan saat menelusuri situs yang dipertanyakan.
Setelah berhasil disusupi, trojan akan mencuri file, sementara ransomware akan mengenkripsi file
Setelah WSHSetup.exe dieksekusi, ia akan mengunduh dua file, file1.exe dan file2.exe. Yang pertama adalah trojan KPOT, sedangkan yang kedua adalah CoronaVirus Ransomware .
Ketika ransomware dijalankan, itu akan mulai mengenkripsi file. Anda mungkin awalnya tidak memperhatikan hal ini terjadi tetapi pasti akan menyadari bahwa ada sesuatu yang salah ketika Anda tidak dapat membuka file pribadi Anda karena mereka telah dienkripsi. Nama file yang terpengaruh akan diubah ke coronaVi2022@protonmail.ch, yang merupakan alamat email kontak yang perlu digunakan pengguna jika mereka memutuskan untuk membayar tebusan.
Di bawah ini adalah daftar ekstensi file yang ditargetkan:
.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old
Ketika ransomware dilakukan mengenkripsi file, itu akan menjatuhkan catatan .txt CoronaVirus. Catatan tersebut menuntut pengguna untuk membayar 0,008 Bitcoin (saat ini $154) untuk mendapatkan dekripsi. Seharusnya setelah pembayaran dilakukan dan dan Anda mengirim email ke alamat email yang ditampilkan, Anda akan menerima dekripsi. Sayangnya, Anda hampir dapat yakin bahwa dekripsi tidak akan dikirimkan kepada Anda. Apakah penjahat cyber mengirim dekripsi dipertanyakan pada saat-saat terbaik, CoronaVirus Ransomware dengan hampir pasti bahwa itu tidak akan dikirim.
Berikut catatan tebusannya:
“CORONAVIRUS is there
All your file are crypted.
Your computer is temporarily blocked on several levels.
Applying strong military secret encryption algorithm.To assist in decrypting your files, you must do the following:
1. Pay 0.008 btc to Bitcoin wallet bc1q6ryyex33jxgr946u3jyre66uey07e2xy3v2cah
or purchase the receipt Bitcoin;
2. Contact us by e-mail: coronaVi2022@protonmail.ch and tell us this your
unique ID: – 56GH8709EE123KJK903IUMN018DGF71E
and send the link to Bitcoin transaction generated or Bitcoin check number.
After all this, you get in your email the following:
1. Instructions and software to unlock your computer
2. Program – decryptor of your files.
Donations to the US presidential elections are accepted around the clock.
Desine sperare qui hic intras! [Wait to payment timeout 25 – 40 min]”
Saat Anda berhadapan dengan ransomware, trojan KPOT akan mencoba mencuri informasi pribadi yang disimpan di komputer yang terinfeksi. Itu termasuk informasi browser, seperti kata sandi, cookie, nomor kartu kredit, informasi rekening perbankan, dll. Kemungkinan besar trojan adalah bagian utama dari serangan, ransomware kemungkinan merupakan gangguan.
Apa yang harus Anda lakukan jika komputer Anda terinfeksi CoronaVirus Ransomware dan KPOT trojan
Jika file Anda tiba-tiba diganti namanya menjadi coronaVi2022@protonmail.ch dan disk drive sistem Anda diganti namanya menjadi CoronaVirus (C:), komputer Anda terinfeksi CoronaVirus Ransomware dengan trojan KPOT dan KPOT. Sangat tidak mungkin bahwa membayar tebusan akan benar-benar mengakibatkan dekripsi dikirim kepada Anda. Apa yang harus Anda lebih khawatirkan adalah trojan mencuri data Anda. Anda harus segera memindai komputer Anda dengan perangkat lunak anti-virus untuk CoronaVirus Ransomware menghapus dan trojan KPOT. Setelah komputer Anda bebas malware, ubah semua kata sandi Anda sekaligus, termasuk akun media sosial, bank online, dan email. Selain itu, perhatikan catatan kartu kredit Anda untuk transaksi yang tidak biasa jika Anda menyimpan detail di salah satu browser Anda.