Trong đại dịch, các cuộc tấn công ransomware đã tăng vọt 148% so với mức cơ bản vào tháng 2 năm 2020. Các chuyên gia bảo mật đã nhận thấy tần suất ngày càng tăng của các cuộc tấn công liên quan đến COVID-19, nhưng các trường hợp bao gồm các biến thể ransomware khác cũng tăng vọt. Điều này có thể là do sự gia tăng đột ngột các mục tiêu có thể đạt được, với 70% lực lượng lao động buộc phải làm việc tại nhà, nơi an ninh internet được nới lỏng hơn nhiều so với môi trường văn phòng.
Một trong những cuộc tấn công ransomware đã tàn phá trong quá trình khóa toàn cầu là ransomware Cobra Locker. Các tệp được khóa bằng cách sử dụng thuật toán AES và RSA và có phần mở rộng tệp .cobra. Mối đe dọa này thường lây lan qua các lượt tải xuống từ các trang web độc hại, nhấp vào email spam hoặc tiêm trực tiếp bởi phần mềm độc hại khác. Những kẻ tấn công thường yêu cầu thanh toán để mở khóa các tệp, nếu không người dùng sẽ không thể truy cập chúng.
Cobra Locker Ransomware là gì?
Cobra Locker ransomware, còn được gọi là Cobra_Locker, được phát hiện lần đầu tiên bởi người dùng Twitter @ dnwls0719 vào tháng 6 năm 2020. Đây là một chủng ransomware mới được phát triển để khai thác những người đã bị ảnh hưởng bởi đại dịch. Loại virus này hoạt động bằng cách mã hóa dữ liệu của người dùng và yêu cầu nạn nhân trả tiền cho dịch vụ giải mã. Phần mềm ransomware Cobra Locker thường nhắm mục tiêu vào video, hình ảnh, tài liệu, kho lưu trữ, cơ sở dữ liệu và các loại dữ liệu khác trên máy tính của bạn. Tất cả các tệp này sẽ bị khóa và mã hóa, khiến người dùng không thể truy cập được cho đến khi trả tiền chuộc.
Rất rõ ràng khi máy tính của bạn bị nhiễm phần mềm tống tiền Cobra Locker vì bạn sẽ nhận được một thông báo bật lên có nền màu đỏ chói, có nội dung:
Cobra_Locker
Rất tiếc! Của bạn đã được mã hóa!
Nếu bạn muốn giải mã tệp của mình, bạn phải có mã giải mã
Tất cả các tệp quan trọng của bạn đã được mã hóa trên PC này.
Tất cả các tệp có phần mở rộng .Cobra đều được mã hóa.
Mã hóa được tạo bằng khóa cá nhân duy nhất được tạo cho máy tính này.
Để giải mã các tệp của bạn, bạn cần lấy khóa cá nhân.
Để truy xuất khóa cá nhân, bạn cần liên hệ với chúng tôi qua email
[email protected] gửi email cho chúng tôi và chờ thêm
hướng dẫn.
Địa chỉ email để liên hệ với chúng tôi:
Nếu bạn muốn giải mã tệp của mình, bạn phải có mã giải mã
Cobra Locker phát hiện ransomware:
- DrWeb:Trojan.Encoder.31957 và Trojan.Encoder.32077
- ALYac:Trojan.Ransom.Filecoder
- Avira (không có đám mây):TR / Ransom.avuwe
- BitDefender:Gen:Heur.Ransom.RTH.1, Trojan .GenericKD.43441079
- ESET-NOD32:Biến thể của MSIL / Filecoder.YQ hoặc Biến thể của MSIL / Filecoder.AAX
- Malwarebytes:Ransom.FileCryptor hoặc Ransom.CobraLocker
- Đang phát triển:Ransom.Encoder 8.FFD4
- Symantec:ML.Attribute.HighConfidence
- Tencent:Msil.Trojan.Encoder.Wtod
- TrendMicro:TROJ_GEN.R002H09FE20
Một tháng sau, một ransomware mới xuất hiện sử dụng phần mở rộng .IT để mã hóa các tệp. Điều này đã được phát hiện vào đầu tháng 7 và nó sử dụng cùng một địa chỉ email được đề cập trong thông báo về mã độc tống tiền Cobra Locker. Kẻ tấn công cũng sử dụng hình ảnh của Pennywise từ bộ phim IT làm nền, để tăng thêm yếu tố gây sợ hãi. Thông báo bật lên thường có nội dung:
Bạn đã trở thành nạn nhân của phần mềm ransomware CNTT!
Tất cả các tệp quan trọng của bạn đã được mã hóa! Và màn hình của bạn đã bị khóa!
hãy để tôi giới thiệu cho bạn các quy tắc
- để mở khóa màn hình, bạn phải nhập khóa đặc biệt
- để giải mã tệp, bạn phải liên hệ với chúng tôi:[email protected]
Phát hiện CNTT:
- DrWeb:Trojan.Encoder.32077
- BitDefender:Trojan.GenericKD.43441079
- ESET -NOD32:Biến thể của MSIL / Filecoder.AAX
- Malwarebytes:Ransom.CobraLocker
- Symantec:ML.Attribute.HighConfidence
Nhìn vào hai email, kẻ tấn công không đề cập đến cách bạn sẽ trả tiền chuộc hoặc số tiền bạn cần trả, bạn cần gửi email trực tiếp cho chúng bằng địa chỉ email được cung cấp để biết thêm cách giải mã tệp của bạn.
Tuy nhiên, đừng quá hy vọng. Ngay cả khi bạn trả tiền chuộc, không có gì đảm bảo rằng kẻ tấn công sẽ vẫn quan tâm đến việc giải mã các tệp của bạn. Có thể bạn sẽ bị bỏ qua khi thanh toán đã được thực hiện.
Ransomware Cobra Locker có thể làm gì?
Cobra Locker và ransomware CNTT đến từ cùng một nhóm những kẻ tấn công và chúng ta có thể yên tâm cho rằng chúng hoạt động theo cùng một cách.
Cobra Locker ransomware mã hóa tệp của người dùng bằng thuật toán AES + RSA, thêm phần mở rộng .Cobra vào mọi tệp. Mặt khác, ransomware CNTT thêm phần mở rộng .IT vào các tệp. Cả hai ransomware đều hoạt động bằng cách quét hệ thống của bạn và tự động mã hóa tài liệu MS Office, tệp OpenOffice, PDF, tệp văn bản, cơ sở dữ liệu, hình ảnh, nhạc, video, lưu trữ và các tài liệu khác. Theo lưu ý ransomware, bạn sẽ không thể truy cập các tệp này trừ khi bạn trả phí theo yêu cầu của kẻ tấn công.
Phần mềm tống tiền này có thể khiến bạn khá đau đầu, đặc biệt nếu nạn nhân không có bản sao dự phòng của các tệp được mã hóa. Vậy bạn sẽ làm gì khi máy tính của mình bị nhiễm mã độc Cobra Locker?
Hướng dẫn loại bỏ Ransomware Cobra Locker
Điều đầu tiên bạn cần làm khi bị nhiễm mã độc Cobra Locker hoặc IT ransomware là loại bỏ mối đe dọa trước khỏi máy tính của bạn để ngăn nó mã hóa nhiều tệp hơn. Sau đó, bạn có thể thử khôi phục tệp của mình.
Dưới đây là cách xóa phần mềm tống tiền Cobra Locker và phần mềm ransomware CNTT khỏi máy tính của bạn:
Bước 1:Khởi động vào Chế độ An toàn với Mạng.
- Nhấp vào Windows> Power , sau đó chọn Khởi động lại trong khi nhấn phím Shift.
- Chọn Gỡ rối> Tùy chọn nâng cao.
- Nhấp vào Cài đặt Khởi động> Khởi động lại để khởi động lại máy tính của bạn.
- Khi Windows khởi động, nhấn F5 hoặc số 5 trên bàn phím để khởi động vào Chế độ an toàn với mạng.
Bước 2:Loại bỏ Ransomware.
Bước tiếp theo yêu cầu một phần mềm bảo mật có thể phát hiện và loại bỏ phần mềm tống tiền khỏi máy tính của bạn. Nếu bạn không có Phần mềm chống phần mềm độc hại phù hợp, hãy nhớ tải xuống phần mềm này trước khi tiếp tục bước này. Khi bạn đã cài đặt phần mềm chống vi-rút, hãy quét máy tính của bạn và xóa tất cả các tệp bị nhiễm. Dưới đây là các tệp liên quan đến ransomware:
- Ransomware.exe hoặc IT.exe
- CobraLocker.dll
- _readme.txt
- readme.txt
Bước 3:Khôi phục tệp của bạn.
Bước cuối cùng là thử và khôi phục các tệp của bạn. Chưa có trình giải mã nào được thiết kế cho ransomware này, vì vậy hãy thử bất kỳ tùy chọn nào ở đây:
Sử dụng trình giải mã chung.
Ngày nay, có một số phần mềm giải mã được thiết kế bởi các chuyên gia bảo mật, chẳng hạn như Michael Gillespie, Kaspersky, Emsisoft và những phần mềm khác. Bạn có thể thử bất kỳ cách nào trong số chúng để xem cách nào hiệu quả.
Sử dụng điểm khôi phục hệ thống.
Tùy chọn khác của bạn là đưa hệ thống của bạn trở lại điểm khôi phục trước khi sự cố lây nhiễm xảy ra. Điều này có thể phức tạp, đặc biệt nếu bạn không biết hệ thống của mình đã bị nhiễm vào thời điểm nào. Để an toàn, hãy chọn điểm khôi phục trước khi phần mềm tống tiền được phát hiện (tháng 6 năm 2020).
Sử dụng phần mềm khôi phục của bên thứ ba.
Nếu trình giải mã của bạn không hoạt động và bạn không có điểm khôi phục hệ thống có thể sử dụng, tùy chọn cuối cùng của bạn là sử dụng các chương trình khôi phục, chẳng hạn như Recuva, EaseUS Data Recover hoặc Stellar. Bạn có thể kiểm tra các chương trình khôi phục khác mà bạn có thể sử dụng tại đây.
Tóm tắt
Ransomware có thể khó đối phó, đặc biệt nếu bạn không có bản sao lưu các tệp của mình. Điều quan trọng nhất là xóa ransomware khỏi thiết bị của bạn trước khi thử bất kỳ phương pháp khôi phục nào được đề cập ở trên. Đảm bảo bạn sao chép tất cả các tệp được mã hóa trước khi cố gắng mở khóa chúng để tránh mất dữ liệu. Nếu vẫn thất bại, bạn có thể chỉ cần chọn đợi bộ giải mã chuyên dụng Cobra Locker được phát hành.