Όπως ήταν αναμενόμενο, απατεώνες στον κυβερνοχώρο ενσωματώνουν τη λέξη «coronavirus» στο κακόβουλο λογισμικό τους. Δεδομένου ότι η πανδημία COVID-19 ξεκίνησε νωρίτερα αυτό το έτος, διάφορα κακόβουλα προγράμματα προέκυψαν με τη λέξη «coronavirus» σε αυτό. Ένα τέτοιο παράδειγμα είναι το CoronaVirus Ransomware . Ως ransomware, είναι αρκετά απλό, μπαίνει στον υπολογιστή, κρυπτογραφεί αρχεία, και απαιτεί από τα θύματα να πληρώσουν λύτρα για να πάρει το αποκρυπτογραφητή. Ωστόσο, μαζί με το CoronaVirus Ransomware έρχεται ένα Trojan KPOT. KPOT είναι ένα διαβόητο trojan που επικεντρώνεται στην κλοπή ευαίσθητων δεδομένων των χρηστών, όπως τα διαπιστευτήρια σύνδεσης.
Τα CoronaVirus Ransomware spreads μέσω μιας ψεύτικης σελίδας χρησιμότητας συστημάτων
Αυτό ransomware και trojan διανέμονται μέσω μιας σελίδας για ένα ψεύτικο πρόγραμμα βελτιστοποίησης του συστήματος των Windows WiseCleaner. Η ιστοσελίδα διανέμει ένα κακόβουλο αρχείο που ονομάζεται WSHSetup.exe, το οποίο είναι ουσιαστικά ένα downloader τόσο για το CoronaVirus Ransomware και τα δεδομένα που κλέβουν trojan KPOT. Εάν οι χρήστες εκτελέσουν το αρχείο, κάνει λήψη του αρχείου1.exe και file2.exe.
Είναι ασαφές πώς ακριβώς οι χρήστες θα καταλήξουν στη σελίδα διανομής του κακόβουλου αρχείου. Είναι πιθανό οι χρήστες θα μπορούσαν να συναντήσουν τις συνδέσεις σε το σε διάφορα φόρουμ, ή να ανακατευθύνονται κατά την περιήγηση στις αμφισβητήσιμες περιοχές.
Μετά την επιτυχή διείσδυση, το trojan θα κλέψει τα αρχεία, ενώ το ransomware θα κρυπτογραφήσει τα αρχεία
Μετά την εκτέλεση του αρχείου WSHSetup.exe, θα κάνει λήψη δύο αρχείων, file1.exe και file2.exe. Το πρώτο είναι το trojan KPOT, ενώ το δεύτερο είναι το CoronaVirus Ransomware .
Όταν το ransomware εκτελείται, θα ξεκινήσει την κρυπτογράφηση αρχείων. Μπορεί να μην παρατηρήσετε αρχικά αυτό συμβαίνει, αλλά σίγουρα θα συνειδητοποιήσουμε ότι κάτι δεν πάει καλά όταν δεν μπορείτε να ανοίξετε κανένα από τα προσωπικά σας αρχεία, επειδή έχουν κρυπτογραφηθεί. Τα ονόματα των αρχείων που επηρεάζονται θα αλλάξουν σε coronaVi2022@protonmail.ch, η οποία είναι μια διεύθυνση ηλεκτρονικού ταχυδρομείου επαφής που οι χρήστες θα πρέπει να χρησιμοποιήσουν εάν αποφασίσουν να πληρώσουν τα λύτρα.
Παρακάτω είναι μια λίστα με τις επεκτάσεις αρχείων που στοχεύουν:
.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old
Όταν το ransomware γίνεται κρυπτογράφηση αρχείων, θα ρίξει ένα CoronaVirus.txt σημείωμα λύτρα. Το σημείωμα απαιτεί από τους χρήστες να πληρώνουν 0.008 Bitcoins (επί του παρόντος $ 154) για να πάρει το αποκρυπτογραφητή. Υποθετικά μόλις γίνει η πληρωμή και και στέλνετε ένα ηλεκτρονικό ταχυδρομείο στις εμφανιζόμενες διευθύνσεις ηλεκτρονικού ταχυδρομείου, θα λάβετε έναν αποκρυπτογράφο. Δυστυχώς, μπορείτε σχεδόν να είστε σίγουροι ότι ένας αποκρυπτογράφος δεν θα σταλεί σε σας. Αν απατεώνες στον κυβερνοχώρο στείλετε το αποκρυπτογραφητή είναι αμφισβητήσιμη στις καλύτερες στιγμές, με το CoronaVirus Ransomware είναι σχεδόν βέβαιο ότι δεν θα σταλεί.
Εδώ είναι το σημείωμα λύτρων:
«CORONAVIRUS is there
All your file are crypted.
Your computer is temporarily blocked on several levels.
Applying strong military secret encryption algorithm.To assist in decrypting your files, you must do the following:
1. Pay 0.008 btc to Bitcoin wallet bc1q6ryyex33jxgr946u3jyre66uey07e2xy3v2cah
or purchase the receipt Bitcoin;
2. Contact us by e-mail: coronaVi2022@protonmail.ch and tell us this your
unique ID: – 56GH8709EE123KJK903IUMN018DGF71E
and send the link to Bitcoin transaction generated or Bitcoin check number.
After all this, you get in your email the following:
1. Instructions and software to unlock your computer
2. Program – decryptor of your files.
Donations to the US presidential elections are accepted around the clock.
Desine sperare qui hic intras! [Wait to payment timeout 25 – 40 min]»
Ενώ έχετε να κάνετε με το ransomware, το Trojan KPOT θα προσπαθήσει να κλέψει προσωπικές πληροφορίες που είναι αποθηκευμένες στον μολυσμένο υπολογιστή. Αυτό περιλαμβάνει πληροφορίες προγράμματος περιήγησης, όπως κωδικούς πρόσβασης, cookies, αριθμούς πιστωτικών καρτών, πληροφορίες τραπεζικού λογαριασμού, κλπ. Είναι περισσότερο από πιθανό ότι το trojan είναι το κύριο μέρος της επίθεσης, το ransomware είναι πιθανό μια απόσπαση της προσοχής.
Τι πρέπει να κάνετε αν ο υπολογιστής σας παίρνει μολυνθεί με CoronaVirus Ransomware και KPOT trojan
Εάν τα αρχεία σας μετονομάζονται ξαφνικά σε coronaVi2022@protonmail.ch και η μονάδα δίσκου του συστήματός σας μετονομάζεται σε CoronaVirus (C:), ο υπολογιστής σας έχει μολυνθεί τόσο με το CoronaVirus Ransomware και το Trojan KPOT. Είναι πολύ απίθανο ότι η πληρωμή των λύτρων θα οδηγήσει πραγματικά σε ένα αποκρυπτογραφητή που στέλνεται σε σας. Αυτό που θα πρέπει να ανησυχούν περισσότερο για το trojan κλέβει τα δεδομένα σας. Θα πρέπει να σαρώσετε αμέσως τον υπολογιστή σας με λογισμικό προστασίας από ιούς για να αφαιρέσετε CoronaVirus Ransomware και το Trojan KPOT. Μόλις ο υπολογιστής σας είναι χωρίς κακόβουλο λογισμικό, αλλάξτε όλους τους κωδικούς πρόσβασής σας ταυτόχρονα, συμπεριλαμβανομένων των λογαριασμών μέσων κοινωνικής δικτύωσης, της ηλεκτρονικής τράπεζας και του ηλεκτρονικού ταχυδρομείου. Επιπλέον, παρακολουθήστε τα αρχεία της πιστωτικής σας κάρτας για τυχόν ασυνήθιστες συναλλαγές, εάν έχετε αποθηκεύσει τα στοιχεία σας σε οποιοδήποτε από τα προγράμματα περιήγησης σας.