Sem surpresa, os criminosos cibernéticos estão incorporando a palavra “coronavírus” em seu software malicioso. Desde que a pandemia COVID-19 começou no início deste ano, vários malwares surgiram com a palavra “coronavírus” nele. Um exemplo é o CoronaVirus Ransomware . Como um ransomware, é bastante simples, ele entra no computador, criptografa arquivos e exige que as vítimas paguem um resgate para obter o descriptografador. No entanto, junto com o CoronaVirus Ransomware vem um trojan KPOT. KPOT é um trojan notório que se concentra em roubar dados confidenciais dos usuários, como credenciais de login.
Os CoronaVirus Ransomware spreads através de uma página de utilidade do sistema falso
Este ransomware e trojan são distribuídos através de uma página para um falso programa de otimização do sistema Windows WiseCleaner. O site distribui um arquivo malicioso chamado WSHSetup.exe, que é essencialmente um downloader tanto para o CoronaVirus Ransomware e os dados que roubam o Trojan KPOT. Se os usuários executarem o arquivo, ele baixar arquivo1.exe e arquivo2.exe.
Não está claro como exatamente os usuários acabariam na página distribuindo o arquivo malicioso. É possível que os usuários possam encontrar links para ele em vários fóruns ou ser redirecionados ao navegar em sites questionáveis.
Após uma infiltração bem-sucedida, o trojan roubará arquivos, enquanto o ransomware criptografará arquivos
Depois que o arquivo WSHSetup.exe for executado, ele baixará dois arquivos, arquivo1.exe e arquivo2.exe. O primeiro é o trojan KPOT, enquanto o segundo é o CoronaVirus Ransomware .
Quando o ransomware for executado, ele começará a criptografar arquivos. Você pode não notar isso inicialmente, mas certamente perceberá que algo está errado quando você não pode abrir nenhum de seus arquivos pessoais porque eles foram criptografados. Os nomes dos arquivos afetados serão alterados para coronaVi2022@protonmail.ch, que é um endereço de e-mail de contato que os usuários precisariam usar se decidissem pagar o resgate.
Abaixo está uma lista de extensões de arquivos que são alvo:
.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old
Quando o ransomware terminar de criptografar arquivos, ele soltará uma nota de resgate .txt CoronaVirus. A nota exige que os usuários paguem 0,008 Bitcoins (atualmente US$ 154) para obter o descriptografador. Supostamente, uma vez que o pagamento é feito e você envia um e-mail para os endereços de e-mail exibidos, você receberá um descriptografador. Infelizmente, você pode quase ter certeza de que um decodificador não será enviado para você. Se os criminosos cibernéticos enviam o descriptografador é questionável na melhor das hipóteses, com o CoronaVirus Ransomware que é quase certo que ele não será enviado.
Aqui está a nota de resgate:
“CORONAVIRUS is there
All your file are crypted.
Your computer is temporarily blocked on several levels.
Applying strong military secret encryption algorithm.To assist in decrypting your files, you must do the following:
1. Pay 0.008 btc to Bitcoin wallet bc1q6ryyex33jxgr946u3jyre66uey07e2xy3v2cah
or purchase the receipt Bitcoin;
2. Contact us by e-mail: coronaVi2022@protonmail.ch and tell us this your
unique ID: – 56GH8709EE123KJK903IUMN018DGF71E
and send the link to Bitcoin transaction generated or Bitcoin check number.
After all this, you get in your email the following:
1. Instructions and software to unlock your computer
2. Program – decryptor of your files.
Donations to the US presidential elections are accepted around the clock.
Desine sperare qui hic intras! [Wait to payment timeout 25 – 40 min]”
Enquanto você está lidando com o ransomware, o trojan KPOT tentaria roubar informações pessoais armazenadas no computador infectado. Isso inclui informações do navegador, como senhas, cookies, números de cartão de crédito, informações de contas bancárias, etc. É mais do que provável que o trojan seja a parte principal do ataque, o ransomware é provavelmente uma distração.
O que você deve fazer se o seu computador for infectado CoronaVirus Ransomware e trojan KPOT
Se seus arquivos forem subitamente renomeados para coronaVi2022@protonmail.ch e sua unidade de disco do sistema for renomeada para CoronaVirus (C:), seu computador será infectado pelo CoronaVirus Ransomware trojan KPOT e pelo trojan KPOT. É muito improvável que pagar o resgate resulte em um decodificador enviado para você. O que você deveria estar mais preocupado é com o trojan roubando seus dados. Você precisa digitalizar imediatamente seu computador com software antivírus para remover CoronaVirus Ransomware e o trojan KPOT. Uma vez que seu computador esteja livre de malware, altere todas as suas senhas de uma só vez, incluindo contas de mídia social, banco on-line e e-mail. Além disso, fique de olho nos registros do seu cartão de crédito para quaisquer transações incomuns se você tiver seus dados salvos em qualquer um de seus navegadores.