Cobra ransomware foi descoberto por MalwareHunterTeam na semana passada que compartilhou com Vitali Kremez fazer engenharia reversa e aprender mais sobre a infecção.
Um novo ransomware foi recentemente descoberto por pesquisadores MalwareHunterTeam. Apelidado ransomware Cobra, a ameaça foi manipulada de forma inversa pelo Vitali Kremez. Graças a ele, Agora Mais detalhes estão disponíveis sobre Snake, o que é considerado um tipo segmentado de ransomware implantado contra as organizações e empresas.
Resumo ameaça
Nome | cobra ransomware |
Extensão de arquivo | Uma seqüência de 5 caracteres a extensão de cada arquivo. |
Tipo | ransomware, Cryptovirus |
O que é isso | A ransomware que visa especificamente redes de organizações. |
Os sintomas | arquivos específicos são criptografados. Em cada arquivo criptografado, o marcador de arquivo Ekans será adicionada. |
Bilhete de resgate | Fix-Your-files.txt |
distribuição Método | Atualmente não conhecido |
Remoção | Para remover eficazmente activa cobra ransomware infecções por vírus, recomendamos que você use uma ferramenta anti-malware avançado. Baixar
Remoção de Malware Ferramenta
|
Experiência de usuário | Participe do nosso Fórum para discutir Cobra ransomware. |
Ferramenta de recuperação de dados | Windows Data Recovery por Stellar Phoenix Aviso prévio! Este produto verifica seus setores de unidade para recuperar arquivos perdidos e não pode recuperar 100% dos arquivos criptografados, mas apenas alguns deles, dependendo da situação e se você tem ou não reformatado a unidade. |
Novas informações sobre o ransomware Cobra tornou-se disponível este mês. De acordo com uma nova análise da amostra que foi publicado este mês (janeiro 2020) Informações mais detalhadas sobre as metas eo comportamento exibido pelo motor. As versões mais recentes do ransomware são fortemente ofuscado e parecem ser especificamente concebido para derrubar redes inteiras ao invés de computadores individuais. Os ficheiros que são detectados como serpente ransomware amostras parecem estar configurada de encontro sistemas industriais.
O vírus Cobra agora inclui várias funções avançadas que serão acionados quando um host está infectado. Entre eles estão os seguintes recursos:
- Remoção de dados - O ransomware cobra foi encontrada para excluir qualquer encontrados sombra de volume cópias de arquivos encontrados no computador contaminado. Isso fará com que a recuperação de dados muito mais difícil e pode dificultar algumas operações de restauração.
- Controle do processo - O mecanismo de vírus Snake vai ser capaz de digitalizar para processos de software que pode bloquear o ransomware em execução - máquinas virtuais, sistemas de acesso, ferramentas de controle remoto, Gerenciamento de rede, software anti-vírus e etc..
- sabotar - sistemas SCADA importantes e outros software de controle industrial será parado de correr. Quando este passo foi executado em um ambiente de produção trabalhando isso pode causar um problema global grande na fábrica que pode ser rotulado como sabotagem industrial.
- Controle de criptografia - Durante o processo de criptografia ransomware os analistas descobriram que o motor irá ignorar arquivos que pertencem ao sistema operacional. Isso é intencional, para não danificar os sistemas que executam. Isso garante que o dano for feita e que os usuários vítima será aable para rever a mensagem de resgate publicado.
Outras investigações para o grupo de hackers por trás do ransomware Cobra revela que os criminosos podem estar por trás de outros ataques perigosos, bem. De particular interesse é a possibilidade de que eles lançaram um ataque com um disco limpador chamado ZeroCleare no passado. Esta foi uma operação altamente sofisticada e devastador planejado contra as organizações industriais e energéticos na região do Oriente Médio.
Outras informações sobre a ameaça tornou-se disponível em janeiro 13 quando outro relatório detalhado sobre o ransomware Snake foi postada. O aspecto perigoso sobre esta ameaça em particular é que os arquivos vítima será encriptada com uma cifra de entrada aleatória - isto significa que os dados não serão processados com um único algoritmo. A forma como isso é feito é que o motor principal irá gravar os nomes dos arquivos originais e diretórios que são usados como parâmetros. Uma corda especial está incluído, bem como - criptografia de chave pública é usada pelo ransomware Cobra.
Os marcadores são adicionados aos arquivos como extensões - conjuntos aleatórios de combinações de caracteres são colocados como extensões de arquivo. A nota de resgate gerado pela versão atual do vírus é chamado *Fix-Your-files.txt que começa com a linha O que aconteceu com seus arquivos?.
cobra Ransomware – Análise técnica
A análise de Kremez indica que o ransomware é escrito na língua golang, e que é altamente ofuscado.
O nível de ofuscação de rotina é muito maior do que o que é geralmente visto em ransomware implantado em ataques direcionados.
Quando a infecção ransomware Cobra é iniciada, Sombra Volume cópias irá ser removido do sistema.
Então, vários processos relacionados com os sistemas SCADA, máquinas virtuais, sistemas de controlo industriais, ferramentas de gerenciamento remoto e ferramentas de gerenciamento de rede serão mortos.
Após estas duas fases são concluídas, o ransomware continuará com criptografia de dados, mas vai ignorar arquivos localizados em pastas de sistema do Windows e alguns arquivos de sistema, tal como:
windir
SystemDrive
:\$Lixeira de reciclagem
:\Dados do Programa
:\Users Todos os usuários
:\Arquivos de Programas
:\Configurações locais
:\bota
:\Sistema de Informação Volume
:\Recuperação
\Dados do aplicativo
Após a criptografia, o ransomware Snake vai anexar uma seqüência de 5 caracteres a extensão de cada arquivo. Como um resultado, um file.doc arquivo chamado será parecido com este após a criptografia - file.docknfgT (acho que é um exemplo aleatório).
Em cada arquivo criptografado, o marcador de arquivo Ekans será adicionada. É curioso notar que Ekans é SNAKE escrito em sentido inverso.
Os pesquisadores dizem que o ransomware leva mais tempo do que o habitual para criptografar dados direcionados. Contudo, uma vez que esta é uma ameaça direcionada que é executado sempre que o atacante decide, o tempo certamente não será um grande problema.
Uma vez que o processo de criptografia é finalizado, Snake vai criar uma nota de resgate em C:\Users Public Desktop, e ele será chamado Fix-Your-files.txt. A nota de resgate normalmente contém instruções para os cibercriminosos contacto relativos instruções de pagamento. O e-mail fornecido para contato é bapcocrypt@ctemplar.com mas o e-mail pode mudar em versões futuras do ransomware.
Isto é o que o bilhete de resgate parece:
Aqui está o que a nota diz (partes dele):
O que aconteceu com seus arquivos?
Nós violado sua rede corporativa e criptografados os dados em seus computadores. Os dados criptografados inclui documentos, bases de dados, fotos e muito mais -
Todos foram criptografadas usando um algoritmo de criptografia de nível militar (AES-256 e RSA-2048). Você não pode acessar esses arquivos agora. Mas preocupação não faça!
Você ainda pode obter esses arquivos para trás e ser instalado e funcionando novamente em nenhum momento.
Como contactar-nos para obter seus arquivos de volta?
A única maneira de restaurar seus arquivos é através da compra de uma ferramenta de decodificação carregado com uma chave privada que criou especificamente para a sua rede.
Remover Cobra Ransomware
Em termos de descriptografia arquivo, atualmente, não há informações se os arquivos criptografados por Snake ransomware pode ser descriptografado sem os atacantes’ chave de decodificação. Ao que parece, criptografia do ransomware é imbatível, Apesar.
Mesmo que no momento Cobra ransomware tem como alvo organizações, campanhas de grande escala contra os indivíduos também pode ser lançado. Se os sintomas da sua infecção ransomware assemelham comportamento de Snake ransomware, você pode tentar remover o ransomware usando as instruções abaixo.