CoV Ransomware
باجافزار CoV توانایی رمزگذاری فایلها را نشان میدهد و آنها را غیرقابل دسترس و غیرقابل استفاده برای قربانیان میکند. این فرآیند رمزگذاری شامل افزودن پسوند '.CoV' به نام فایل های اصلی فایل های آسیب دیده است. علاوه بر این، این تهدید با تغییر تصویر زمینه دسکتاپ، ارائه یک پیام خطا و ایجاد فایل "HOW TO DECRYPT FILES.txt" فراتر از رمزگذاری فایل صرف می شود. این فایل متنی به عنوان یک یادداشت باج است که دستورالعملهای مربوط به نحوه پرداخت باج را برای قربانی توضیح میدهد.
محققان امنیتی به طور قطعی CoV را به عنوان باج افزار وابسته به خانواده بدافزار Xorist شناسایی کرده اند. این طبقهبندی نشان میدهد که CoV ویژگیها و قابلیتهایی را با سایر نرمافزارهای مخرب در همان خانواده به اشتراک میگذارد.
برای نشان دادن اینکه چگونه CoV نام فایلها را در طول فرآیند رمزگذاری تغییر میدهد، مثالهای زیر را در نظر بگیرید: «1.png» به «1.png.CoV» تبدیل میشود و «2.pdf» به «2.pdf.CoV» و غیره تبدیل میشود. . این الگوی نامگذاری متمایز با پسوند «.CoV» به عنوان یک نشانگر واضح از فایلهای تحت تأثیر باجافزار عمل میکند.
قربانیان باج افزار CoV برای پرداخت باج اخاذی می شوند
یادداشت باجگیری صادر شده توسط باجافزار CoV وضعیت وخیمی را به قربانیان منتقل میکند و ادعا میکند که همه فایلهای حیاتی تحت رمزگذاری قرار گرفتهاند و غیرقابل دسترسی هستند. برای تسهیل فرآیند رمزگشایی، مهاجمان خواهان پرداخت 0.03 بیت کوین هستند و آدرس بیت کوین (کیف پول) خاصی را برای تراکنش مشخص می کنند.
پس از تکمیل پرداخت باج، قربانیان هدایت می شوند تا با استفاده از یک خط موضوع از پیش تعریف شده، با مهاجم از طریق دو آدرس ایمیل مشخص شده ارتباط برقرار کنند: 'covina@tuta.io' یا 'covina1@skiff.com'. اطمینان داده شده این است که، پس از تایید پرداخت، قربانی کلیدهای سرور و یک ابزار رمزگشا را دریافت خواهد کرد که برای خودکارسازی فرآیند رمزگشایی فایل طراحی شده است.
با افزودن یک لایه فوریت، یادداشت باج، یک بازه زمانی سه روزه را برای قربانیان برای پرداخت تعیین می کند. این به صراحت هشدار می دهد که عدم رعایت این پنجره منجر به حذف کلیدهای رمزگشایی می شود و بازیابی فایل را بدون کلیدهای اصلی غیرممکن می کند.
علیرغم این دستورالعملها، کارشناسان امنیت سایبری به شدت قربانیان را از پرداخت باج منع میکنند و تأکید میکنند که چنین پرداختهایی بازیابی فایلها را تضمین نمیکند و ممکن است سهوا از فعالیتهای مجرمانه حمایت کند. متأسفانه، رمزگشایی فایلها بدون ابزارهای تخصصی ارائه شده توسط مهاجمان، اغلب یک کار چالش برانگیز، اگر نگوییم غیرممکن است.
به منظور جلوگیری از آسیب بیشتر، به قربانیان توصیه می شود که به سرعت باج افزار را از سیستم های در معرض خطر حذف کنند. حضور فعال باجافزار خطر رمزگذاری فایلهای اضافی و انتشار بالقوه در سراسر شبکهها را به همراه دارد که بر طیف وسیعتری از رایانهها در محیط آسیبدیده تأثیر میگذارد.
گام های مهم در جلوگیری از تهدیدات باج افزار از آلوده کردن دستگاه های شما
در سناریوی دیجیتال کنونی، اتخاذ تدابیر امنیتی کافی در برابر بی شماری از تهدیدات بدافزار مختلف در خارج از کشور بسیار حیاتی است. برای به حداقل رساندن احتمال خراب شدن دستگاههایتان، حتماً مراحل ضروری زیر را اجرا کنید:
- استراتژیهای پشتیبانگیری قوی را اجرا کنید : به طور مرتب از دادههای مهم در درایوهای خارجی، فضای ذخیرهسازی ابری یا خدمات پشتیبانگیری ایمن نسخه پشتیبان تهیه کنید. اطمینان حاصل کنید که نسخههای پشتیبان به صورت آفلاین ذخیره میشوند تا از دستیابی باجافزارها و رمزگذاری آنها جلوگیری شود. به طور منظم فرآیند بازیابی را بررسی کنید تا یکپارچگی نسخه های پشتیبان را تأیید کنید.
- نرم افزار و سیستم ها را به روز نگه دارید : سیستم عامل ها، برنامه های کاربردی نرم افزاری و وصله های امنیتی را به طور منظم در همه دستگاه ها به روز کنید. باج افزار اغلب از آسیب پذیری های نرم افزارهای قدیمی سوء استفاده می کند. فعال کردن بهروزرسانیهای خودکار یا بررسی منظم بهروزرسانیها به اطمینان از تقویت سیستمها در برابر آسیبپذیریهای شناخته شده کمک میکند.
- آموزش و آموزش کاربران : به کاربران در مورد خطرات باج افزار و اهمیت عادات آنلاین امن آموزش دهید. به آنها آموزش دهید تا ایمیل های فیشینگ، لینک های مشکوک و پیوست ها را تشخیص دهند. بر نیاز به رمزهای عبور قوی و منحصر به فرد و استفاده از احراز هویت چند عاملی تأکید کنید. پایگاه کاربر آگاه، خط دفاعی حیاتی در برابر تهدیدات باجافزار است.
- راهحلهای امنیتی پیشرفته را به کار بگیرید : از نرمافزار ضد بدافزار معتبر با قابلیت اسکن بلادرنگ استفاده کنید. پیاده سازی راه حل های فیلتر ایمیل برای شناسایی و قرنطینه تهدیدات احتمالی. استقرار راهحلهای پیشرفته تشخیص تهدید را در نظر بگیرید که میتواند الگوهای رفتار باجافزار را شناسایی کند و یک لایه دفاعی اضافی را فراهم کند.
- محدود کردن مجوزهای کاربر : مجوزهای کاربر را فقط به سطوح لازم برای نقش های آنها محدود کنید. کاربرانی که دارای امتیازات مدیریتی هستند باید از حسابهای جداگانه برای کارهای روزانه استفاده کنند تا خطر دسترسی باجافزار را کاهش دهند. برای کاهش تأثیر حملات باجافزار احتمالی، اصل حداقل امتیاز را عملی کنید.
با گنجاندن این اقدامات در یک استراتژی جامع امنیت سایبری، کاربران می توانند خطر قربانی شدن در معرض تهدیدات باج افزار را به میزان قابل توجهی کاهش دهند. بررسی و بهروزرسانی منظم این اقدامات برای همسویی با تهدیدات سطحی، برای حفظ یک دفاع مؤثر در برابر تاکتیکهای باجافزاری در حال تکامل، حیاتی است.
متن کامل یادداشت باجگیری منتشر شده توسط باجافزار CoV به شرح زیر است:
'Hello,
All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoinاطمینان حاصل کنید که 0.03 بیت کوین را به این آدرس ارسال کنید:
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dxاگر بیت کوین ندارید، از اینجا خرید کنید:
www.paxful.com
در اینجا می توانید لیست بزرگتری پیدا کنید:
hxxps://bitcoin.org/en/exchangesپس از ارسال بیت کوین، با این آدرس ایمیل با من تماس بگیرید:
covina@tuta.io یا covina1@skiff.com
با این موضوع:پس از تایید پرداخت، کلید سرور و رمزگشای شما را برای رمزگشایی فایل های شما به صورت خودکار برای شما ارسال می کنم.
همچنین اطلاعاتی در مورد نحوه حل مشکل امنیتی خود دریافت خواهید کرد تا دوباره قربانی باج افزار نشوید.
از این لحظه شما 3 روز فرصت دارید تا با من تماس بگیرید تا پرداخت را انجام دهید، در غیر این صورت کلیدها را حذف می کنم و مطمئن باشید که هیچ کس نمی تواند فایل های شما را بدون کلید اصلی رمزگشایی کند، می توانید امتحان کنید اما زمان خود را از دست خواهید داد و فایل های شما.'
