Como era de esperar, los delincuentes cibernéticos están incorporando la palabra “coronavirus” en su software malicioso. Desde que la pandemia COVID-19 comenzó a principios de este año, varios programas maliciosos surgieron con la palabra “coronavirus” en ella. Un ejemplo de ello es el CoronaVirus Ransomware archivo . Como un ransomware, es bastante sencillo, se mete en el ordenador, cifra los archivos, y exige a las víctimas pagar un rescate para obtener el descifrador. Sin embargo, junto con el CoronaVirus Ransomware viene un troyano KPOT. KPOT es un troyano notorio que se centra en robar los datos confidenciales de los usuarios, como las credenciales de inicio de sesión.

CoronaVirus Ransomware comes together with data-stealing trojan KPOT

Los CoronaVirus Ransomware diferenciales a través de una página de utilidad del sistema falso

Este ransomware y troyano se distribuyen a través de una página para un falso programa de optimización del sistema de Windows WiseCleaner. El sitio distribuye un archivo malicioso llamado WSHSetup.exe, que es esencialmente un descargador para el CoronaVirus Ransomware y el troyano de robo de datos KPOT. Si los usuarios ejecutan el archivo, descarga file1.exe y file2.exe.

No está claro cómo exactamente los usuarios terminarían en la página que distribuye el archivo malicioso. Es posible que los usuarios podrían encontrar enlaces a ella en varios foros, o ser redirigidos al navegar por sitios cuestionables.

Tras la infiltración exitosa, el troyano robará archivos, mientras que el ransomware cifrará los archivos

Después de ejecutar el archivo WSHSetup.exe, descargará dos archivos, file1.exe y file2.exe. El primero es el troyano KPOT, mientras que el segundo es el CoronaVirus Ransomware .

Cuando se ejecuta el ransomware, comenzará a cifrar archivos. Usted no puede notar inicialmente esto sucediendo, pero sin duda se dará cuenta de que algo está mal cuando no se puede abrir cualquiera de sus archivos personales porque han sido cifrados. Los nombres de los archivos afectados se cambiarán a coronaVi2022@protonmail.ch, que es una dirección de correo electrónico de contacto que los usuarios tendrían que utilizar si deciden pagar el rescate.

A continuación se muestra una lista de extensiones de archivo que están dirigidas:

.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old

Cuando el ransomware se hace el cifrado de archivos, se caerá un CoronaVirus.txt nota de rescate. La nota exige que los usuarios pagan 0.008 Bitcoins (actualmente $154) con el fin de obtener el descifrador. Supuestamente una vez que se realiza el pago y envía un correo electrónico a las direcciones de correo electrónico mostradas, recibirá un descifrador. Por desgracia, casi se puede estar seguro de que un descifrador no será enviado a usted. Si los ladrones cibernéticos envían el descifrador es cuestionable en el mejor de los momentos, con el CoronaVirus Ransomware es casi seguro que no será enviado.

Aquí está la nota de rescate:

“CORONAVIRUS is there
All your file are crypted.
Your computer is temporarily blocked on several levels.
Applying strong military secret encryption algorithm.

To assist in decrypting your files, you must do the following:
1. Pay 0.008 btc to Bitcoin wallet bc1q6ryyex33jxgr946u3jyre66uey07e2xy3v2cah
or purchase the receipt Bitcoin;
2. Contact us by e-mail: coronaVi2022@protonmail.ch and tell us this your
unique ID: – 56GH8709EE123KJK903IUMN018DGF71E
and send the link to Bitcoin transaction generated or Bitcoin check number.
After all this, you get in your email the following:
1. Instructions and software to unlock your computer
2. Program – decryptor of your files.
Donations to the US presidential elections are accepted around the clock.
Desine sperare qui hic intras! [Wait to payment timeout 25 – 40 min]”

Mientras que usted está tratando con el ransomware, el troyano KPOT trataría de robar información personal almacenada en el ordenador infectado. Esto incluye información del navegador, como contraseñas, cookies, números de tarjetas de crédito, información de cuentas bancarias, etc. Es más que probable que el troyano es la parte principal del ataque, el ransomware es probablemente una distracción.

¿Qué debe hacer si su computadora se infecta con CoronaVirus Ransomware y troyano KPOT

Si sus archivos se renombran repentinamente a coronaVi2022@protonmail.ch y la unidad de disco del sistema se cambia a CoronaVirus (C:), su equipo está infectado con el CoronaVirus Ransomware troyano Y el KPOT. Es muy poco probable que pagar el rescate en realidad resultará en un descifrador enviado a usted. Lo que debería estar más preocupado es el troyano que roba sus datos. Es necesario escanear inmediatamente su ordenador con software antivirus para eliminar CoronaVirus Ransomware y el troyano KPOT. Una vez que su computadora esté libre de malware, cambie todas sus contraseñas a la vez, incluyendo cuentas de redes sociales, banco en línea y correo electrónico. Además, mantenga un ojo en los registros de su tarjeta de crédito para cualquier transacción inusual si tenía sus datos guardados en cualquiera de sus navegadores.

Deja un comentario