Làm thế nào để loại bỏ Ransomware Cobra Locker (05.18.24)

Trong đại dịch, các cuộc tấn công bằng ransomware đã tăng vọt 148% so với mức cơ bản vào tháng 2 năm 2020. Các chuyên gia bảo mật đã nhận thấy tần suất ngày càng tăng của các cuộc tấn công liên quan đến COVID-19, nhưng các trường hợp bao gồm các biến thể ransomware khác cũng tăng vọt. Điều này có thể là do sự gia tăng đột ngột trong các mục tiêu có thể xảy ra, với 70% lực lượng lao động buộc phải làm việc tại nhà, nơi an ninh internet được thoải mái hơn nhiều so với thiết lập văn phòng.

tàn phá trong quá trình khóa toàn cầu là phần mềm tống tiền Cobra Locker. Các tệp được khóa bằng cách sử dụng thuật toán AES và RSA và có phần mở rộng tệp .cobra. Mối đe dọa này thường lây lan qua tải xuống từ các trang web độc hại, nhấp vào email spam hoặc tiêm trực tiếp bởi phần mềm độc hại khác. Những kẻ tấn công thường yêu cầu thanh toán để mở khóa các tệp, nếu không người dùng sẽ không thể truy cập chúng.

Cobra Locker Ransomware là gì?

Cobra Locker ransomware, còn được gọi là Cobra_Locker, được phát hiện lần đầu tiên bởi người dùng Twitter @ dnwls0719 vào tháng 6 năm 2020. Đây là một chủng ransomware mới được phát triển để khai thác những người đã bị ảnh hưởng bởi đại dịch. Loại virus này hoạt động bằng cách mã hóa dữ liệu của người dùng và yêu cầu nạn nhân trả tiền cho dịch vụ giải mã. Phần mềm ransomware Cobra Locker thường nhắm mục tiêu vào video, hình ảnh, tài liệu, kho lưu trữ, cơ sở dữ liệu và các loại dữ liệu khác trên máy tính của bạn. Tất cả các tệp này sẽ bị khóa và mã hóa, khiến người dùng không thể truy cập được cho đến khi tiền chuộc được trả.

Rất rõ ràng khi máy tính của bạn bị nhiễm ransomware Cobra Locker vì bạn sẽ nhận được một cửa sổ- đăng thông báo có nền đỏ chói, có nội dung:

Cobra_Locker

Rất tiếc! Của bạn đã được mã hóa!

Nếu bạn muốn giải mã các tệp của mình, bạn phải có mã giải mã

Tất cả các tệp quan trọng của bạn đã được mã hóa trên PC này.

Tất cả các tệp có Phần mở rộng .Cobra được mã hóa.

Mã hóa được tạo bằng khóa cá nhân duy nhất được tạo cho máy tính này.

Để giải mã các tệp của bạn, bạn cần lấy khóa cá nhân.

Để truy xuất khóa cá nhân, bạn cần liên hệ cho chúng tôi qua email

[email protected] gửi email cho chúng tôi và chờ hướng dẫn thêm

.

Địa chỉ email để liên hệ với chúng tôi:

[email protected]

Nếu bạn muốn giải mã các tệp của mình, bạn phải có mã giải mã

Khả năng phát hiện ransomware của Cobra Locker:

  • DrWeb: Trojan .Encoder.31957 và Trojan.Encoder.32077
  • ALYac: Trojan.Ransom.Filecoder
  • Avira (không có đám mây): TR / Ransom.avuwe
  • BitDefender Gen: Heur.Ransom.RTH.1, Trojan .GenericKD.43441079
  • ESET-NOD32: Biến thể của MSIL / Filecoder.YQ hoặc Biến thể của MSIL / Filecoder.AAX
  • Malwarebytes: Ransom.FileCryptor hoặc Ransom.CobraLocker
  • Đang phát triển: Ransom.Encoder 8.FFD4
  • Symantec: ML.Attribute.HighConfidence
  • Tencent: Msil. Trojan.Encoder.Wtod
  • TrendMicro: TROJ_GEN.R002H09FE20

Một tháng sau, ransomware mới sử dụng phần mở rộng .IT để mã hóa các tệp. Điều này đã được phát hiện vào đầu tháng 7 và nó sử dụng cùng một địa chỉ email được đề cập trong thông báo ransomware Cobra Locker. Kẻ tấn công cũng sử dụng hình ảnh của Pennywise từ bộ phim IT làm nền, để tăng thêm yếu tố gây sợ hãi. Thông báo bật lên thường có nội dung:

Bạn đã trở thành nạn nhân của phần mềm ransomware CNTT!

Tất cả các tệp quan trọng của bạn đã được mã hóa! Và màn hình của bạn bị khóa!

hãy để tôi giới thiệu với bạn các quy tắc

  • để mở khóa màn hình, bạn phải nhập khóa đặc biệt
  • để giải mã các tệp mà bạn phải liên hệ với chúng tôi : [email được bảo vệ]

    • Phát hiện CNTT:

    • DrWeb: Trojan.Encoder.32077
    • BitDefender: Trojan.GenericKD.43441079
    • ESET -NOD32: Biến thể của MSIL / Filecoder.AAX
    • Malwarebytes: Ransom.CobraLocker
    • Symantec: ML.Attribute.HighConfidence

    Nhìn vào hai email, kẻ tấn công không đề cập đến cách bạn sẽ trả tiền chuộc hoặc số tiền bạn cần trả, bạn cần gửi email trực tiếp cho chúng bằng địa chỉ email được cung cấp để biết thêm về cách các tệp của bạn có thể được giải mã.

    Tuy nhiên, đừng quá hy vọng. Ngay cả khi bạn trả tiền chuộc, không có gì đảm bảo rằng kẻ tấn công sẽ vẫn quan tâm đến việc giải mã các tệp của bạn. Có thể bạn sẽ bị bỏ qua sau khi thanh toán đã được thực hiện.

    Cobra Locker Ransomware có thể làm gì?

    Cobra Locker và ransomware CNTT đến từ cùng một nhóm kẻ tấn công và chúng ta có thể an tâm cho rằng chúng hoạt động theo cùng một cách.

    Cobra Locker ransomware mã hóa tệp của người dùng bằng thuật toán AES + RSA, thêm phần mở rộng .Cobra vào mọi tệp. Mặt khác, phần mềm ransomware CNTT thêm phần mở rộng .IT vào các tệp. Cả hai ransomware đều hoạt động bằng cách quét hệ thống của bạn và tự động mã hóa tài liệu MS Office, tệp OpenOffice, PDF, tệp văn bản, cơ sở dữ liệu, hình ảnh, nhạc, video, lưu trữ và các tài liệu khác. Theo lưu ý về ransomware, bạn sẽ không thể truy cập các tệp này trừ khi bạn trả phí theo yêu cầu của kẻ tấn công.

    Loại ransomware này có thể khiến bạn khá đau đầu, đặc biệt nếu nạn nhân không có bản sao lưu. bản sao của các tệp được mã hóa. Vậy bạn sẽ làm gì khi máy tính của mình bị nhiễm phần mềm tống tiền Cobra Locker?

    Hướng dẫn loại bỏ phần mềm tống tiền Cobra Locker

    Điều đầu tiên bạn cần làm khi bị nhiễm bởi phần mềm ransomware Cobra Locker hoặc CNTT là xóa mối đe dọa đầu tiên từ máy tính của bạn để ngăn nó mã hóa nhiều tệp hơn. Sau đó, bạn có thể thử khôi phục tệp của mình.

    Dưới đây là cách xóa phần mềm tống tiền Cobra Locker và phần mềm ransomware CNTT khỏi máy tính của bạn:

    Bước 1: Khởi động vào Chế độ An toàn với Mạng.
  • Nhấp vào Windows & gt; Biểu tượng Nguồn , sau đó chọn Khởi động lại trong khi nhấn phím Shift.
  • Chọn Khắc phục sự cố & gt; Tùy chọn nâng cao.
  • Nhấp vào Cài đặt khởi động & gt; Khởi động lại để khởi động lại máy tính của bạn.
  • Khi Windows khởi động, nhấn F5 hoặc số 5 trên bàn phím để khởi động vào Chế độ an toàn với mạng.
    • Bước 2: Xóa phần mềm tống tiền.

    Bước tiếp theo yêu cầu phần mềm bảo mật có thể phát hiện và xóa phần mềm tống tiền khỏi máy tính của bạn. Nếu bạn không có Phần mềm chống phần mềm độc hại phù hợp, hãy nhớ tải xuống phần mềm này trước khi tiếp tục bước này. Khi bạn đã cài đặt phần mềm chống vi-rút, hãy quét máy tính của bạn và xóa tất cả các tệp bị nhiễm. Dưới đây là các tệp liên quan đến ransomware:

    • Ransomware.exe hoặc IT.exe
    • CobraLocker.dll
    • _readme.txt
    • readme.txt
    Bước 3 : Khôi phục tệp của bạn.

    Bước cuối cùng là thử và khôi phục tệp của bạn. Chưa có trình giải mã nào được thiết kế cho ransomware này, vì vậy hãy thử bất kỳ tùy chọn nào ở đây:

    Sử dụng trình giải mã chung.

    Ngày nay, có một số phần mềm giải mã được thiết kế bởi các chuyên gia bảo mật, chẳng hạn như Michael Gillespie, Kaspersky , Emsisoft và những người khác. Bạn có thể thử bất kỳ cách nào trong số chúng để xem cách nào hoạt động.

    Sử dụng điểm khôi phục hệ thống.

    Tùy chọn khác của bạn là đưa hệ thống của bạn trở lại điểm khôi phục trước khi xảy ra sự cố. Điều này có thể phức tạp, đặc biệt nếu bạn không biết hệ thống của mình đã bị nhiễm vào thời điểm nào. Để an toàn, hãy chọn điểm khôi phục trước khi phần mềm tống tiền được phát hiện (tháng 6 năm 2020).

    Sử dụng phần mềm khôi phục của bên thứ ba.

    Nếu trình giải mã của bạn không hoạt động và bạn không có điểm khôi phục hệ thống để có thể sử dụng, thì tùy chọn cuối cùng của bạn là sử dụng các chương trình khôi phục, chẳng hạn như Recuva, EaseUS Data Recover hoặc Stellar. Bạn có thể kiểm tra các chương trình khôi phục khác mà bạn có thể sử dụng tại đây.

    Tóm tắt

    Có thể khó xử lý phần mềm tống tiền, đặc biệt nếu bạn không có bản sao lưu các tệp của mình. Điều quan trọng nhất là xóa ransomware khỏi thiết bị của bạn trước khi thử bất kỳ phương pháp khôi phục nào được đề cập ở trên. Đảm bảo bạn sao chép tất cả các tệp được mã hóa trước khi cố gắng mở khóa chúng để tránh mất dữ liệu. Nếu vẫn thất bại, bạn có thể chỉ cần chọn đợi bộ giải mã chuyên dụng Cobra Locker được phát hành.

    Video youtube.: Làm thế nào để loại bỏ Ransomware Cobra Locker

    05, 2024