CoV Ransomware

A CoV Ransomware képes a fájlok titkosítására, elérhetetlenné és használhatatlanná téve azokat az áldozatok számára. Ez a titkosítási folyamat magában foglalja a „.CoV” kiterjesztést az érintett fájlok eredeti fájlnevéhez. Ezen túlmenően a fenyegetés túlmutat a puszta fájltitkosításon: megváltoztatja az asztali háttérképet, hibaüzenetet jelenít meg, és létrehoz egy „HOGYAN MEGTÖLTŐ Fájlokat.txt” fájlt. Ez a szöveges fájl váltságdíj-jegyzetként szolgál, amely részletezi az áldozat számára a váltságdíj kifizetésére vonatkozó utasításokat.

A biztonsági kutatók a CoV-t a Xorist malware családhoz kapcsolódó zsarolóprogramként azonosították. Ez a besorolás azt jelzi, hogy a CoV ugyanazon a családon belüli más rosszindulatú szoftverekkel közös jellemzőkkel és funkciókkal rendelkezik.

Annak szemléltetésére, hogy a CoV hogyan módosítja a fájlneveket a titkosítási folyamat során, tekintse meg a következő példákat: az „1.png” átalakul „1.png.CoV”-ra, a „2.pdf” pedig „2.pdf.CoV”-ra, és így tovább . Ez a jellegzetes elnevezési minta a hozzáfűzött „.CoV” kiterjesztéssel a ransomware által érintett fájlok egyértelmű jelzőjeként szolgál.

A CoV Ransomware áldozatait váltságdíj fizetésére zsarolják

A CoV Ransomware által kibocsátott váltságdíj-jegyzet szörnyű helyzetet közöl az áldozatokkal, és azt állítja, hogy minden kritikus fájl titkosításon ment keresztül, ami elérhetetlenné teszi őket. A visszafejtési folyamat megkönnyítése érdekében a támadók 0,03 Bitcoin fizetését követelik, megadva egy adott Bitcoin címet (pénztárcát) a tranzakcióhoz.

A váltságdíj kifizetése után az áldozatokat két megadott e-mail címen kell felvenni a támadóval: „covina@tuta.io” vagy „covina1@skiff.com”, egy előre meghatározott tárgysor használatával. A biztosíték az, hogy a fizetés visszaigazolását követően az áldozat megkapja a kiszolgálókulcsokat és egy dekódoló eszközt, amelyet a fájl visszafejtési folyamatának automatizálására terveztek.

A váltságdíj sürgőssége mellett három napos határidőt ír elő az áldozatoknak a fizetés teljesítésére. Kifejezetten figyelmeztet arra, hogy ezen ablak be nem tartása a visszafejtési kulcsok törlését eredményezi, ami lehetetlenné teszi a fájlok helyreállítását az eredeti kulcsok nélkül.

Ezen utasítások ellenére a kiberbiztonsági szakértők határozottan visszatartják az áldozatokat a váltságdíj fizetésétől, hangsúlyozva, hogy az ilyen kifizetések nem biztosítják a fájlok visszaszerzését, és véletlenül támogathatják a bűncselekményeket. Sajnos a fájlok visszafejtése a támadók által biztosított speciális eszközök nélkül gyakran kihívást, ha nem lehetetlen feladat.

A további károk megelőzése érdekében az áldozatoknak azt tanácsoljuk, hogy haladéktalanul távolítsák el a zsarolóprogramot a feltört rendszerekről. A zsarolóprogramok aktív jelenléte további fájlok titkosításának kockázatát rejti magában, és potenciálisan a hálózatokon keresztül terjedhet, ami az érintett környezetben lévő számítógépek szélesebb körét érinti.

Létfontosságú lépések annak megakadályozására, hogy a zsarolóvírusok megfertőzzék eszközeit

A jelenlegi digitális forgatókönyvben egyre fontosabb a megfelelő biztonsági intézkedések megtétele a számtalan különféle rosszindulatú fenyegetés ellen. Az eszközök feltörésének esélyének minimalizálása érdekében hajtsa végre a következő alapvető lépéseket:

• Robusztus biztonsági mentési stratégiák megvalósítása : Rendszeresen készítsen biztonsági másolatot a fontos adatokról külső meghajtókra, felhőalapú tárhelyre vagy biztonságos biztonsági mentési szolgáltatásokra. Győződjön meg róla, hogy a biztonsági másolatokat offline állapotban tárolja, hogy megakadályozza a zsarolóvírusok elérését és titkosítását. Rendszeresen ellenőrizze a visszaállítási folyamatot, hogy ellenőrizze a biztonsági másolatok integritását.
• Szoftverek és rendszerek frissítése : Rendszeresen frissítse az operációs rendszereket, szoftveralkalmazásokat és biztonsági javításokat minden eszközön. A Ransomware gyakran kihasználja az elavult szoftverek sebezhetőségeit. Az automatikus frissítések engedélyezése vagy a frissítések rendszeres ellenőrzése segít biztosítani, hogy a rendszerek védve legyenek az ismert sebezhetőségekkel szemben.
• Felhasználók oktatása és képzése : Tájékoztassa a felhasználókat a ransomware kockázatairól és a biztonságos online szokások fontosságáról. Tanítsa meg őket, hogy felismerjék az adathalász e-maileket, a gyanús linkeket és a mellékleteket. Hangsúlyozza az erős, egyedi jelszavak és a többtényezős hitelesítés szükségességét. A jól informált felhasználói bázis kulcsfontosságú védelmi vonalat jelent a ransomware-fenyegetések ellen.
• Fejlett biztonsági megoldások telepítése : Használjon jó hírű kártevőirtó szoftvert valós idejű vizsgálati képességekkel. E-mail szűrési megoldások alkalmazása a lehetséges fenyegetések azonosítására és karanténba helyezésére. Fontolja meg olyan fejlett fenyegetésészlelési megoldások telepítését, amelyek képesek azonosítani a zsarolóvírus-viselkedési mintákat, és további védelmet nyújtanak.
• Felhasználói engedélyek korlátozása : A felhasználói engedélyeket csak a szerepkörükhöz szükséges szintre korlátozza. Az adminisztrátori jogosultságokkal rendelkező felhasználóknak külön fiókot kell használniuk a napi feladatokhoz, hogy csökkentsék a zsarolóvírusok magasabb szintű hozzáférésének kockázatát. Alkalmazza a gyakorlatban a legkisebb kiváltság elvét, hogy csökkentse a lehetséges ransomware támadások hatását.

Ezen intézkedések átfogó kiberbiztonsági stratégiába történő beépítésével a felhasználók jelentősen csökkenthetik annak kockázatát, hogy zsarolóprogram-fenyegetések áldozatává váljanak. Ezeknek az intézkedéseknek a rendszeres felülvizsgálata és frissítése a felszínre kerülő fenyegetésekkel való összhang érdekében kulcsfontosságú a fejlődő ransomware taktikák elleni hatékony védekezés fenntartásához.

A CoV Ransomware által eldobott váltságdíj teljes szövege a következő:

'Hello,

All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin

Ügyeljen arra, hogy 0,03 bitcoint küldjön erre a címre:
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dx

Ha nincs bitcoinod, vásárolj innen:
www.paxful.com
Nagyobb listát itt találsz:
hxxps://bitcoin.org/en/exchanges

A bitcoin elküldése után vegye fel velem a kapcsolatot az alábbi e-mail címeken:
covina@tuta.io vagy covina1@skiff.com
ezzel a témával:

A fizetés visszaigazolása után elküldöm a szerver kulcsait és a dekódolót, hogy automatikusan visszafejtse a fájlokat.

Arról is tájékoztatást kap, hogyan oldhatja meg biztonsági problémáját, hogy elkerülje, hogy ismét zsarolóprogram áldozatává váljon.

Ettől a pillanattól kezdve 3 napja van felvenni velem a kapcsolatot a fizetéssel, ellenkező esetben törlöm a kulcsokat, és biztos vagyok benne, hogy senki sem tudja visszafejteni a fájljait az eredeti kulcsok nélkül, megpróbálhatja, de elveszíti az idejét és a fájljaid.