Non sorprende che i criminali informatici stanno incorporando la parola “coronavirus” nel loro software dannoso. Da quando la pandemia di COVID-19 è iniziata all’inizio di quest’anno, vari malware sono emersi con la parola “coronavirus” in esso. Uno di questi esempi è CoronaVirus Ransomware l’. Come un ransomware, è abbastanza semplice, entra nel computer, crittografa i file e richiede alle vittime di pagare un riscatto per ottenere il decryptor. Tuttavia, insieme al CoronaVirus Ransomware arriva un trojan KPOT. KPOT è un trojan noto che si concentra sul furto dei dati sensibili degli utenti, come le credenziali di accesso.
Lo CoronaVirus Ransomware spread attraverso una pagina di utilità di sistema falso
Questo ransomware e trojan sono distribuiti tramite una pagina per un falso programma di ottimizzazione del sistema Windows WiseCleaner. Il sito distribuisce un file dannoso chiamato WSHSetup.exe, che è essenzialmente un downloader sia per il CoronaVirus Ransomware KPOT trojan che per quello che ruba i dati. Se gli utenti eseguono il file, scarica file1.exe e file2.exe.
Non è chiaro come esattamente gli utenti finirebbero sulla pagina distribuendo il file dannoso. È possibile che gli utenti possano incontrare collegamenti ad esso su vari forum o essere reindirizzati durante la navigazione di siti discutibili.
Dopo infiltrazioni di successo, il trojan ruberà i file, mentre il ransomware sarà crittografare i file
Dopo l’esecuzione del file WSHSetup.exe, verranno scaricati due file, file1.exe e file2.exe. Il primo è il trojan KPOT, mentre il secondo è il CoronaVirus Ransomware .
Quando il ransomware viene eseguito, inizierà a crittografare i file. Potresti non notare inizialmente questo accadere, ma sicuramente ti renderai conto che qualcosa non va quando non puoi aprire nessuno dei tuoi file personali perché sono stati crittografati. I nomi dei file interessati saranno modificati in coronaVi2022@protonmail.ch, che è un indirizzo e-mail di contatto che gli utenti avrebbero bisogno di utilizzare se decidono di pagare il riscatto.
Di seguito è riportato un elenco di estensioni di file destinate:
.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old
Quando il ransomware è fatto crittografare i file, si abbandonerà una coronavirus.txt richiesta di riscatto. La nota richiede che gli utenti paghino 0.008 Bitcoin (attualmente $ 154) per ottenere il decryptor. Presumibilmente una volta effettuato il pagamento e e si invia un’e-mail agli indirizzi e-mail visualizzati, si riceverà un decryptor. Sfortunatamente, si può quasi essere certi che un decryptor non verrà inviato a voi. Se i truffatori informatici inviano il decryptor è discutibile nei momenti migliori, CoronaVirus Ransomware con il è quasi certo che non sarà inviato.
Ecco la richiesta di riscatto:
“CORONAVIRUS is there
All your file are crypted.
Your computer is temporarily blocked on several levels.
Applying strong military secret encryption algorithm.To assist in decrypting your files, you must do the following:
1. Pay 0.008 btc to Bitcoin wallet bc1q6ryyex33jxgr946u3jyre66uey07e2xy3v2cah
or purchase the receipt Bitcoin;
2. Contact us by e-mail: coronaVi2022@protonmail.ch and tell us this your
unique ID: – 56GH8709EE123KJK903IUMN018DGF71E
and send the link to Bitcoin transaction generated or Bitcoin check number.
After all this, you get in your email the following:
1. Instructions and software to unlock your computer
2. Program – decryptor of your files.
Donations to the US presidential elections are accepted around the clock.
Desine sperare qui hic intras! [Wait to payment timeout 25 – 40 min]”
Mentre si ha a che fare con il ransomware, il trojan KPOT avrebbe cercato di rubare le informazioni personali memorizzate sul computer infetto. Ciò include informazioni sul browser, come password, cookie, numeri di carta di credito, informazioni sul conto bancario, ecc. E ‘più che probabile che il trojan è la parte principale dell’attacco, il ransomware è probabilmente una distrazione.
Cosa dovresti fare se il tuo computer viene infettato CoronaVirus Ransomware e KPOT trojan
Se i file vengono improvvisamente rinominati in coronaVi2022@protonmail.ch e l’unità disco di sistema viene rinominata In CoronaVirus (C:), il computer viene infettato sia dal CoronaVirus Ransomware trojan KPOT che da quello KPOT. E ‘molto improbabile che pagare il riscatto si tradurrà effettivamente in un decryptor inviato a voi. Quello di cui dovresti essere più preoccupato è il trojan che ruba i tuoi dati. È necessario eseguire immediatamente la scansione del computer con software antivirus da rimuovere CoronaVirus Ransomware e il trojan KPOT. Una volta che il tuo computer è privo di malware, cambia tutte le tue password contemporaneamente, inclusi account di social media, banca online ed e-mail. Inoltre, tieni d’occhio i registri della tua carta di credito per eventuali transazioni insolite se hai salvato i tuoi dati su uno qualsiasi dei tuoi browser.