CoV Ransomware

Ransomware-ul CoV prezintă capacitatea de a cripta fișierele, făcându-le inaccesibile și inutilizabile pentru victime. Acest proces de criptare implică adăugarea extensiei „.CoV” la numele de fișiere originale ale fișierelor afectate. Mai mult, amenințarea depășește simpla criptare a fișierelor, modificând imaginea de fundal de pe desktop, prezentând un mesaj de eroare și generând un fișier „HOW TO DECRYPT FILES.txt”. Acest fișier text servește ca o notă de răscumpărare care detaliază instrucțiunile pentru victimă despre cum să plătească răscumpărarea.

Cercetătorii de securitate au identificat în mod concludent CoV ca ransomware afiliat familiei de malware Xorist . Această clasificare indică faptul că CoV împărtășește caracteristici și funcționalități cu alte programe rău intenționate din cadrul aceleiași familii.

Pentru a ilustra modul în care CoV modifică numele fișierelor în timpul procesului de criptare, luați în considerare următoarele exemple: „1.png” este transformat în „1.png.CoV”, iar „2.pdf” devine „2.pdf.CoV” și așa mai departe . Acest model de denumire distinctiv cu extensia „.CoV” atașată servește ca un marcator clar al fișierelor afectate de ransomware.

Victimele ransomware-ului CoV sunt extorcate să plătească răscumpărări

Nota de răscumpărare emisă de CoV Ransomware comunică victimelor o situație îngrozitoare, afirmând că toate fișierele critice au fost criptate, făcându-le inaccesibile. Pentru a facilita procesul de decriptare, atacatorii cer plata a 0,03 Bitcoin, specificând o anumită adresă Bitcoin (portofel) pentru tranzacție.

După finalizarea plății răscumpărării, victimele sunt direcționate să stabilească contactul cu atacatorul prin intermediul a două adrese de e-mail specificate: „covina@tuta.io” sau „covina1@skiff.com”, folosind un subiect predefinit. Asigurarea dată este că, la confirmarea plății, victima va primi chei de server și un instrument de decriptare, conceput pentru a automatiza procesul de decriptare a fișierelor.

Adăugând un nivel de urgență, nota de răscumpărare impune un interval de trei zile pentru ca victimele să facă plata. Acesta avertizează în mod explicit că nerespectarea acestei ferestre va duce la ștergerea cheilor de decriptare, făcând imposibilă recuperarea fișierelor fără cheile originale.

În ciuda acestor instrucțiuni, experții în securitate cibernetică descurajează puternic victimele să plătească răscumpărări, subliniind că astfel de plăți nu asigură recuperarea fișierelor și pot sprijini din neatenție activități criminale. Din păcate, decriptarea fișierelor fără instrumentele specializate oferite de atacatori este adesea o sarcină dificilă, dacă nu imposibilă.

În interesul prevenirii daunelor suplimentare, victimele sunt sfătuite să elimine prompt ransomware-ul din sistemele compromise. Prezența activă a ransomware-ului prezintă riscul de a cripta fișiere suplimentare și de a se răspândi în rețele, impactând o gamă mai largă de computere din mediul afectat.

Pași esențiali în prevenirea amenințărilor ransomware de a vă infecta dispozitivele

În scenariul digital actual, este din ce în ce mai vital să se ia măsuri de securitate suficiente împotriva multitudinii de diferite amenințări malware existente. Pentru a minimiza șansele ca dispozitivele dvs. să fie încălcate, asigurați-vă că implementați următorii pași esențiali:

• Implementați strategii robuste de backup : faceți în mod regulat copii de siguranță ale datelor importante pe unități externe, stocare în cloud sau servicii de backup securizate. Asigurați-vă că backup-urile sunt stocate offline pentru a preveni accesarea și criptarea ransomware-ului. Verificați în mod regulat procesul de restaurare pentru a verifica integritatea copiilor de rezervă.
• Păstrați software-ul și sistemele actualizate : actualizați în mod regulat sistemele de operare, aplicațiile software și corecțiile de securitate pe toate dispozitivele. Ransomware-ul exploatează adesea vulnerabilitățile din software-ul învechit. Activarea actualizărilor automate sau verificarea periodică a actualizărilor vă ajută să vă asigurați că sistemele sunt întărite împotriva vulnerabilităților cunoscute.
• Educați și instruiți utilizatorii : educați utilizatorii despre riscurile ransomware-ului și despre importanța obiceiurilor online sigure. Învățați-i să recunoască e-mailurile de phishing, linkurile suspecte și atașamentele. Subliniați nevoia de parole puternice, unice și utilizarea autentificării cu mai mulți factori. O bază de utilizatori bine informată este o linie crucială de apărare împotriva amenințărilor ransomware.
• Implementați soluții avansate de securitate : utilizați software anti-malware de renume cu capabilități de scanare în timp real. Implementați soluții de filtrare a e-mailurilor pentru a identifica și a pune în carantină potențialele amenințări. Luați în considerare implementarea unor soluții avansate de detectare a amenințărilor care pot identifica modele de comportament ransomware, oferind un nivel suplimentar de apărare.
• Restricționați permisiunile utilizatorului : Limitați permisiunile utilizatorului doar la nivelurile necesare pentru rolurile lor. Utilizatorii cu privilegii administrative ar trebui să folosească conturi separate pentru sarcinile zilnice pentru a reduce riscul ca ransomware-ul să obțină acces crescut. Pune în practică principiul celui mai mic privilegiu pentru a reduce impactul potențialelor atacuri ransomware.

Prin încorporarea acestor măsuri într-o strategie cuprinzătoare de securitate cibernetică, utilizatorii pot reduce semnificativ riscul de a deveni victima amenințărilor ransomware. Revizuirea și actualizarea regulată a acestor măsuri pentru a se alinia cu amenințările apărute este crucială pentru a menține o apărare eficientă împotriva tacticilor de ransomware în evoluție.

Întregul text al notei de răscumpărare eliminată de CoV Ransomware este după cum urmează:

'Hello,

All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin

Asigurați-vă că trimiteți 0,03 bitcoin la această adresă:
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dx

Dacă nu dețineți bitcoini, cumpărați de aici:
www.paxful.com
Puteți găsi o listă mai mare aici:
hxxps://bitcoin.org/en/exchanges

După ce ați trimis bitcoin, contactați-mă la aceste adrese de e-mail:
covina@tuta.io sau covina1@skiff.com
cu acest subiect:

După confirmarea plății, vă voi trimite cheile serverului și decriptorul pentru a vă decripta fișierele automat.

Veți primi, de asemenea, informații despre cum să vă rezolvați problema de securitate pentru a evita să deveniți din nou victima unui ransomware.

Din acest moment ai la dispoziție 3 zile să mă contactezi pentru a efectua plata, altfel șterg cheile, și fii sigur că nimeni nu va putea decripta fișierele tale fără cheile originale, poți încerca dar vei pierde timpul și dosarele tale.'