Как да премахнете Cobra Locker Ransomware (05.18.24)
По време на пандемията атаките на рансъмуер се увеличиха със 148% в сравнение с изходното ниво през февруари 2020 г. Експертите по сигурността са забелязали нарастващата честота на атаки, свързани с COVID-19, но случаи, включително други варианти на рансъмуер, също са се увеличили. Това може да се дължи на внезапното нарастване на възможните цели, като 70% от работната сила е принудена да работи от вкъщи, където интернет сигурността е много по-спокойна в сравнение с настройките в офиса.
Една от атаките на рансъмуера опустошен по време на глобалното заключване е рансъмуерът Cobra Locker. Файловете се заключват с помощта на алгоритми AES и RSA и им се дава разширението на файла .cobra. Тази заплаха обикновено се разпространява чрез изтегляне от злонамерени уебсайтове, щракване върху нежелана поща или директно инжектиране от друг злонамерен софтуер. Обикновено нападателите изискват плащане за отключване на файловете, в противен случай потребителите няма да имат достъп до тях.
Какво е Cobra Locker Ransomware?Рансъмуерът Cobra Locker, известен също като Cobra_Locker, е открит за първи път от потребителя на Twitter @ dnwls0719 миналия юни 2020 г. Това е нов щам на рансъмуер, разработен за експлоатация на засегнатите от пандемията. Този криптовирус работи, като криптира данните на потребителите и изисква от жертвите да заплатят услугата за дешифриране. Рансъмуерът Cobra Locker обикновено е насочен към видеоклипове, снимки, документи, архиви, бази данни и други видове данни на вашия компютър. Всички тези файлове ще бъдат заключени и шифровани, което ще ги направи недостъпни за потребителя, докато откупът не бъде платен.
Много е очевидно, когато компютърът ви е заразен с рансъмуера Cobra Locker, защото ще получите съобщение нагоре с крещящ червен фон, което гласи:
Cobra_Locker
Ами сега! Вие сте били шифровани!
Ако искате да дешифрирате вашите файлове, трябва да имате код за дешифриране
Всички ваши важни файлове са криптирани на този компютър.
Всички файлове с .Cobra разширението са криптирани.
Шифроването е произведено с помощта на уникален частен ключ, генериран за този компютър.
За да дешифрирате вашите файлове, трябва да получите частен ключ.
За да извлечете частния ключ, трябва да се свържете ни по имейл
[имейл защитен] изпратете ни имейл и изчакайте допълнителни
инструкции.
Имейл адрес, за да се свържете с нас:
[имейл защитен]
Ако искате да дешифрирате вашите файлове, трябва да имате код за дешифриране
Откриване на рансъмуер Cobra Locker:
- DrWeb: Троянски .Encoder.31957 и Trojan.Encoder.32077
- ALYac: Trojan.Ransom.Filecoder
- Avira (без облак): TR / Ransom.avuwe
- BitDefender : Gen: Heur.Ransom.RTH.1, троянски .GenericKD.43441079
- ESET-NOD32: Вариант на MSIL / Filecoder.YQ или Вариант на MSIL / Filecoder.AAX
- Malwarebytes: Ransom.FileCryptor или Ransom.CobraLocker
- Rising: Ransom.Encoder 8.FFD4
- Symantec: ML.Attribute.HighConfidence
- Tencent: Msil. Trojan.Encoder.Wtod
- TrendMicro: TROJ_GEN.R002H09FE20
Месец по-късно излезе нов рансъмуер, използващ разширението .IT за криптиране на файловете. Това беше открито в началото на юли и използва същия имейл адрес, споменат в известието за рансъмуер Cobra Locker. Нападателят също така използва снимка на Pennywise от филма IT като фон, за допълнителен фактор на плашене. Изскачащото съобщение обикновено гласи:
Вие сте станали жертва на ИТ рансъмуер!
Всички ваши важни файлове са криптирани! И екранът ви е заключен!
позволете ми да ви запозная с правилата
ИТ открития:
- DrWeb: Trojan.Encoder.32077
- BitDefender: Trojan.GenericKD.43441079
- ESET -NOD32: Вариант на MSIL / Filecoder.AAX
- Malwarebytes: Ransom.CobraLocker
- Symantec: ML.Attribute.HighConfidence
Разглеждайки двата имейла, нападателят не споменава как ще платите откупа или колко трябва да платите, трябва да ги изпратите директно по имейл адреса, даден, за да разберете повече как могат да бъдат вашите файлове дешифриран.
Въпреки това, не се надявайте. Дори ако платите откупа, няма гаранция, че нападателят пак ще се погрижи да дешифрира вашите файлове. Възможно е да бъдете игнорирани, след като плащането бъде извършено.
Какво може да направи Cobra Locker Ransomware?Cobra Locker и ИТ рансъмуерът идват от една и съща група нападатели и можем спокойно да предположим, че те работят по същия начин.
Рансъмуерът Cobra Locker криптира файловете на потребителя, използвайки алгоритми AES + RSA, добавяйки разширение .Cobra към всеки файл. ИТ рансъмуерът, от друга страна, добавя разширението .IT към файловете. И двата рансъмуера работят чрез сканиране на вашата система и автоматично криптиране на документи на MS Office, файлове на OpenOffice, PDF, текстови файлове, бази данни, изображения, музика, видео, архиви и други. Според бележката за рансъмуера няма да имате достъп до тези файлове, освен ако не заплатите таксата, поискана от нападателя.
Този рансъмуер може да причини доста главоболие, особено ако жертвата няма резервно копие копие на шифрованите файлове. И така, какво правите, когато компютърът ви е заразен от рансъмуера Cobra Locker?
Инструкции за премахване на Ransomware Cobra LockerПървото нещо, което трябва да направите, когато се заразите от Cobra Locker или IT рансъмуер, е да премахнете първо заплахата от вашия компютър, за да му попречите да криптира повече файлове. След това можете да опитате да възстановите вашите файлове.
Ето как да премахнете рансъмуера на Cobra Locker и ИТ рансъмуера от компютъра си:
Стъпка 1: Стартирайте в безопасен режим с мрежа.Следващата стъпка изисква софтуер за сигурност, който е в състояние да открие и премахне рансъмуера от вашия компютър. Ако нямате правилния анти-зловреден софтуер, първо го изтеглете, преди да продължите с тази стъпка. След като инсталирате антивируса, сканирайте компютъра си и изтрийте всички заразени файлове. Ето файловете, свързани с рансъмуера:
- Ransomware.exe или IT.exe
- CobraLocker.dll
- _readme.txt
- readme.txt
Последната стъпка е да опитате да възстановите вашите файлове. Все още няма дешифратор, проектиран за този рансъмуер, така че нека опитаме някоя от опциите тук:
Използвайте общ декриптор.Днес има няколко софтуера за дешифриране, проектирани от експерти по сигурността, като Майкъл Гилеспи, Kaspersky , Emsisoft и други. Можете да опитате всеки от тях, за да видите кой работи.
Използвайте точка за възстановяване на системата.Другата ви опция е да върнете системата обратно до точка за възстановяване, преди да се е случила инфекцията. Това може да бъде сложно, особено ако не знаете в кой момент системата ви се е заразила. За да бъдете сигурни, изберете точка за възстановяване, която е далеч преди рансъмуерът да бъде открит (юни 2020 г.).
Използвайте софтуер за възстановяване на трета страна.Ако декрипторите не работят и нямате точка за възстановяване на системата, която можете да използвате, последната ви опция е да използвате програми за възстановяване, като Recuva, EaseUS Data Recover или Stellar. Можете да проверите други програми за възстановяване, които можете да използвате тук.
РезюмеРансъмуерът може да бъде труден за справяне, особено ако нямате резервно копие на вашите файлове. Най-важното е първо да изтриете рансъмуера от устройството си, преди да опитате някой от споменатите по-горе методи за възстановяване. Уверете се, че първо сте копирали всички криптирани файлове, преди да се опитате да ги отключите, за да избегнете загуба на данни. Ако всичко друго се провали, можете просто да изчакате освобождаването на декриптора, предназначен за Cobra Locker.
YouTube Video.: Как да премахнете Cobra Locker Ransomware
05, 2024