Nic dziwnego, że cyberoszuści zawierają słowo „coronavirus” do ich złośliwego oprogramowania. Ponieważ pandemia COVID-19 rozpoczęła się na początku tego roku, pojawiło się w nim różne złośliwe oprogramowanie ze słowem „coronavirus”. Jednym z takich przykładów jest CoronaVirus Ransomware . Jako ransomware, to całkiem proste, dostaje się do komputera, szyfruje pliki i żąda ofiar zapłacić okup, aby uzyskać deszyfrator. Jednak, wraz z CoronaVirus Ransomware przychodzi trojan KPOT. KPOT jest notorycznym trojanem, który koncentruje się na kradzieży poufnych danych użytkowników, takich jak dane logowania.
CoronaVirus Ransomware Spready za pośrednictwem fałszywej strony narzędzia systemu
Ten ransomware i trojan są dystrybuowane za pośrednictwem strony dla fałszywego programu optymalizacji systemu Windows WiseCleaner. Strona dystrybuuje złośliwy plik o nazwie WSHSetup.exe, który jest zasadniczo downloader zarówno CoronaVirus Ransomware dla i kradzieży danych trojan KPOT. Jeśli użytkownik wykonuje plik, pobiera pliki .exe i file2.exe.
Nie jest jasne, jak dokładnie użytkownicy trafią na stronę rozpowszechniającą złośliwy plik. Możliwe, że użytkownicy mogą napotkać linki do niego na różnych forach lub zostać przekierowani podczas przeglądania wątpliwych witryn.
Po udanej infiltracji, trojan ukradnie pliki, podczas gdy ransomware będzie szyfrować pliki
Po wykonaniu pliku WSHSetup.exe pobierze dwa pliki, file1.exe i file2.exe. Pierwszym z nich jest trojan KPOT, a drugi jest CoronaVirus Ransomware .
Po wykonaniu oprogramowania ransomware rozpocznie szyfrowanie plików. Możesz nie zauważyć tego, ale z pewnością zdasz sobie sprawę, że coś jest nie tak, gdy nie możesz otworzyć żadnych plików osobistych, ponieważ zostały zaszyfrowane. Nazwy plików, których dotyczy problem, zostaną zmienione na coronaVi2022@protonmail.ch, czyli kontaktowy adres e-mail, którego użytkownicy musieliby użyć, jeśli zdecydują się zapłacić okup.
Poniżej znajduje się lista rozszerzeń plików, które są ukierunkowane:
.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old
Gdy ransomware jest wykonywana szyfrowanie plików, spadnie CoronaVirus.txt notatki okupu. Notatka wymaga, aby użytkownicy płacili 0.008 Bitcoins (obecnie $154) w celu uzyskania deszyfratora. Podobno po dokonaniu płatności i wysłaniu wiadomości e-mail na wyświetlane adresy e-mail otrzymasz deszyfrator. Niestety, możesz być prawie pewien, że deszyfrator nie zostanie wysłany do Ciebie. Czy cyberoszuści wysłać deszyfrator jest wątpliwe w najlepszym czasie, z CoronaVirus Ransomware to prawie pewne, że nie zostanie wysłany.
Oto uwaga o okupie:
„CORONAVIRUS is there
All your file are crypted.
Your computer is temporarily blocked on several levels.
Applying strong military secret encryption algorithm.To assist in decrypting your files, you must do the following:
1. Pay 0.008 btc to Bitcoin wallet bc1q6ryyex33jxgr946u3jyre66uey07e2xy3v2cah
or purchase the receipt Bitcoin;
2. Contact us by e-mail: coronaVi2022@protonmail.ch and tell us this your
unique ID: – 56GH8709EE123KJK903IUMN018DGF71E
and send the link to Bitcoin transaction generated or Bitcoin check number.
After all this, you get in your email the following:
1. Instructions and software to unlock your computer
2. Program – decryptor of your files.
Donations to the US presidential elections are accepted around the clock.
Desine sperare qui hic intras! [Wait to payment timeout 25 – 40 min]”
Podczas gdy masz do czynienia z ransomware, trojan KPOT będzie próbował ukraść dane osobowe przechowywane na zainfekowanym komputerze. Obejmuje to informacje o przeglądarce, takie jak hasła, pliki cookie, numery kart kredytowych, informacje o koncie bankowym itp. Jest bardziej niż prawdopodobne, że trojan jest główną częścią ataku, ransomware jest prawdopodobnie rozproszenia.
Co należy zrobić, jeśli komputer zostanie zainfekowany CoronaVirus Ransomware i trojan KPOT
Jeśli pliki są nagle przemianowany na coronaVi2022@protonmail.ch i dysku systemowego jest zmieniana na CoronaVirus (C:), komputer jest zainfekowany zarówno CoronaVirus Ransomware trojan i KPOT. Jest bardzo mało prawdopodobne, że zapłacenie okupu spowoduje wysłanie do Ciebie deszyfratora. Co powinno być bardziej martwi się o to trojan kradzież danych. Musisz natychmiast przeskanować komputer za pomocą oprogramowania antywirusowego, aby usunąć CoronaVirus Ransomware i trojan KPOT. Gdy komputer nie będzie wolny od złośliwego oprogramowania, zmień wszystkie hasła jednocześnie, w tym konta w mediach społecznościowych, bank online i pocztę e-mail. Ponadto, miej oko na rekordy karty kredytowej dla wszelkich nietypowych transakcji, jeśli masz swoje dane zapisane w dowolnej z przeglądarek.