CoV Ransomware

CoV Ransomware wykazuje zdolność do szyfrowania plików, czyniąc je niedostępnymi i bezużytecznymi dla ofiar. Ten proces szyfrowania polega na dodaniu rozszerzenia „.CoV” do oryginalnych nazw plików, których dotyczy problem. Co więcej, zagrożenie wykracza poza zwykłe szyfrowanie plików i zmienia tapetę pulpitu, wyświetla komunikat o błędzie i generuje plik „JAK ODSZYFROWAĆ PLIKI.txt”. Ten plik tekstowy służy jako żądanie okupu zawierające szczegółowe instrukcje dla ofiary dotyczące sposobu zapłacenia okupu.

Badacze bezpieczeństwa jednoznacznie zidentyfikowali CoV jako oprogramowanie ransomware powiązane z rodziną złośliwego oprogramowania Xorist . Klasyfikacja ta wskazuje, że CoV ma takie same cechy i funkcje jak inne złośliwe oprogramowanie z tej samej rodziny.

Aby zilustrować, jak CoV modyfikuje nazwy plików podczas procesu szyfrowania, rozważ następujące przykłady: „1.png” zostaje przekształcony w „1.png.CoV”, a „2.pdf” staje się „2.pdf.CoV” i tak dalej . Ten charakterystyczny wzorzec nazewnictwa z dołączonym rozszerzeniem „.CoV” służy jako wyraźne oznaczenie plików dotkniętych oprogramowaniem ransomware.

Ofiary oprogramowania ransomware CoV są zmuszane do płacenia okupu

Notatka z żądaniem okupu wydana przez CoV Ransomware informuje ofiary o tragicznej sytuacji, twierdząc, że wszystkie krytyczne pliki zostały zaszyfrowane, co czyni je niedostępnymi. Aby ułatwić proces odszyfrowania, napastnicy żądają zapłaty 0,03 Bitcoina, podając konkretny adres Bitcoin (portfel) dla transakcji.

Po dokonaniu płatności okupu ofiary proszone są o nawiązanie kontaktu z atakującym za pośrednictwem dwóch określonych adresów e-mail: „covina@tuta.io” lub „covina1@skiff.com”, korzystając z wcześniej zdefiniowanego tematu. Zapewnia się, że po potwierdzeniu płatności ofiara otrzyma klucze serwera i narzędzie deszyfrujące, zaprojektowane w celu zautomatyzowania procesu deszyfrowania plików.

Dodatkową pilność stanowi żądanie okupu, które nakłada na ofiary trzydniowy termin na dokonanie płatności. Wyraźnie ostrzega, że niezastosowanie się do tego okna spowoduje usunięcie kluczy deszyfrujących, co uniemożliwi odzyskanie plików bez oryginalnych kluczy.

Pomimo tych instrukcji eksperci ds. cyberbezpieczeństwa zdecydowanie odradzają ofiarom płacenia okupu, podkreślając, że takie płatności nie gwarantują odzyskania plików i mogą nieumyślnie wspierać działania przestępcze. Niestety, odszyfrowanie plików bez specjalistycznych narzędzi udostępnionych przez atakujących jest często zadaniem trudnym, jeśli nie niemożliwym.

Aby zapobiec dalszym szkodom, ofiarom zaleca się niezwłoczne usunięcie oprogramowania ransomware z zaatakowanych systemów. Aktywna obecność oprogramowania ransomware stwarza ryzyko szyfrowania dodatkowych plików i potencjalnego rozprzestrzeniania się w sieciach, wpływając na szerszą gamę komputerów w zagrożonym środowisku.

Kluczowe kroki w zapobieganiu zagrożeniom typu ransomware powodującym infekowanie urządzeń

W obecnym scenariuszu cyfrowym coraz ważniejsze staje się podjęcie wystarczających środków bezpieczeństwa przeciwko niezliczonej liczbie różnych zagrożeń złośliwym oprogramowaniem. Aby zminimalizować ryzyko naruszenia bezpieczeństwa Twoich urządzeń, pamiętaj o wykonaniu następujących niezbędnych kroków:

• Wdrażaj niezawodne strategie tworzenia kopii zapasowych : regularnie twórz kopie zapasowe ważnych danych na dyskach zewnętrznych, w chmurze lub w bezpiecznych usługach tworzenia kopii zapasowych. Upewnij się, że kopie zapasowe są przechowywane w trybie offline, aby uniemożliwić oprogramowaniu ransomware dotarcie do nich i zaszyfrowanie ich. Regularnie sprawdzaj proces przywracania, aby zweryfikować integralność kopii zapasowych.
• Aktualizuj oprogramowanie i systemy : regularnie aktualizuj systemy operacyjne, aplikacje i poprawki zabezpieczeń na wszystkich urządzeniach. Ransomware często wykorzystuje luki w nieaktualnym oprogramowaniu. Włączenie automatycznych aktualizacji lub regularne sprawdzanie dostępności aktualizacji pomaga zapewnić ochronę systemów przed znanymi lukami w zabezpieczeniach.
• Edukuj i szkol użytkowników : Edukuj użytkowników o zagrożeniach związanych z oprogramowaniem ransomware i znaczeniu bezpiecznych nawyków w Internecie. Poinstruuj ich, jak rozpoznawać e-maile phishingowe, podejrzane linki i załączniki. Podkreśl potrzebę stosowania silnych, unikalnych haseł i stosowania uwierzytelniania wieloskładnikowego. Dobrze poinformowana baza użytkowników stanowi kluczową linię obrony przed zagrożeniami typu ransomware.
• Wdrażaj zaawansowane rozwiązania zabezpieczające : korzystaj ze sprawdzonego oprogramowania chroniącego przed złośliwym oprogramowaniem z możliwością skanowania w czasie rzeczywistym. Wdrażaj rozwiązania do filtrowania poczty e-mail, aby identyfikować i poddawać kwarantannie potencjalne zagrożenia. Rozważ wdrożenie zaawansowanych rozwiązań do wykrywania zagrożeń, które mogą identyfikować wzorce zachowań oprogramowania ransomware, zapewniając dodatkową warstwę ochrony.
• Ogranicz uprawnienia użytkowników : Ogranicz uprawnienia użytkowników tylko do niezbędnych poziomów wymaganych dla ich ról. Użytkownicy z uprawnieniami administracyjnymi powinni używać oddzielnych kont do codziennych zadań, aby zmniejszyć ryzyko uzyskania podwyższonego dostępu przez oprogramowanie ransomware. Wprowadź w życie zasadę najmniejszych uprawnień, aby zmniejszyć wpływ potencjalnych ataków ransomware.

Włączając te środki do kompleksowej strategii cyberbezpieczeństwa, użytkownicy mogą znacznie zmniejszyć ryzyko stania się ofiarą zagrożeń typu ransomware. Regularny przegląd i aktualizacja tych środków w celu dostosowania ich do pojawiających się zagrożeń ma kluczowe znaczenie dla utrzymania skutecznej obrony przed ewoluującymi taktykami oprogramowania ransomware.

Cały tekst żądania okupu upuszczonego przez CoV Ransomware jest następujący:

'Hello,

All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin

Upewnij się, że wyślesz 0,03 bitcoina na ten adres:
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dx

Jeśli nie posiadasz bitcoinów, kup tutaj:
www.paxful.com
Większą listę znajdziesz tutaj:
hxxps://bitcoin.org/en/exchanges

Po wysłaniu bitcoinów skontaktuj się ze mną pod następującymi adresami e-mail:
covina@tuta.io lub covina1@skiff.com
z tym tematem:

Po potwierdzeniu płatności wyślę Ci klucze serwera i deszyfrator, aby automatycznie odszyfrować Twoje pliki.

Otrzymasz również informacje o tym, jak rozwiązać problem bezpieczeństwa, aby uniknąć ponownego stania się ofiarą oprogramowania ransomware.

Od tego momentu masz 3 dni na skontaktowanie się ze mną w celu dokonania płatności, w przeciwnym razie usunę klucze i będę mieć pewność, że nikt nie będzie mógł odszyfrować Twoich plików bez oryginalnych kluczy, możesz spróbować, ale stracisz czas i twoje pliki.