CoV Ransomware
Izsiljevalska programska oprema CoV izkazuje zmožnost šifriranja datotek, zaradi česar postanejo nedostopne in neuporabne za žrtve. Ta postopek šifriranja vključuje dodajanje pripone '.CoV' izvirnim imenom prizadetih datotek. Poleg tega grožnja presega zgolj šifriranje datotek s spreminjanjem ozadja namizja, prikazom sporočila o napaki in generiranjem datoteke »KAKO DEŠIFRIRATI DATOTEKE.txt«. Ta besedilna datoteka služi kot obvestilo o odkupnini s podrobnimi navodili za žrtev, kako plačati odkupnino.
Varnostni raziskovalci so dokončno identificirali CoV kot izsiljevalsko programsko opremo, povezano z družino zlonamerne programske opreme Xorist . Ta razvrstitev nakazuje, da si CoV deli značilnosti in funkcionalnosti z drugo zlonamerno programsko opremo znotraj iste družine.
Za ponazoritev, kako CoV spreminja imena datotek med postopkom šifriranja, upoštevajte naslednje primere: »1.png« se pretvori v »1.png.CoV«, »2.pdf« pa postane »2.pdf.CoV« in tako naprej . Ta značilen vzorec poimenovanja s pripeto končnico '.CoV' služi kot jasen označevalec datotek, na katere vpliva izsiljevalska programska oprema.
Žrtve izsiljevalske programske opreme CoV so izsiljene k plačilu odkupnine
Obvestilo o odkupnini, ki ga je izdala izsiljevalska programska oprema CoV, žrtvam sporoča grozljivo situacijo in trdi, da so bile vse kritične datoteke šifrirane, zaradi česar so nedostopne. Da bi olajšali postopek dešifriranja, napadalci zahtevajo plačilo 0,03 Bitcoin, pri čemer navedejo določen Bitcoin naslov (denarnico) za transakcijo.
Po zaključku plačila odkupnine so žrtve napotene, da vzpostavijo stik z napadalcem prek dveh določenih e-poštnih naslovov: 'covina@tuta.io' ali 'covina1@skiff.com', z uporabo vnaprej določene vrstice z zadevo. Podano zagotovilo je, da bo žrtev po potrditvi plačila prejela ključe strežnika in orodje za dešifriranje, ki je zasnovano za avtomatizacijo postopka dešifriranja datotek.
Obvestilo o odkupnini dodaja plast nujnosti in žrtvi nalaga tridnevni rok za plačilo. Izrecno opozarja, da bo neupoštevanje tega okna povzročilo izbris ključev za dešifriranje, zaradi česar bo obnovitev datoteke nemogoča brez originalnih ključev.
Kljub tem navodilom strokovnjaki za kibernetsko varnost žrtve močno odvračajo od plačila odkupnin, pri čemer poudarjajo, da takšna plačila ne zagotavljajo obnovitve datotek in lahko nenamerno podpirajo kriminalne dejavnosti. Na žalost je dešifriranje datotek brez posebnih orodij, ki jih nudijo napadalci, pogosto zahtevna, če ne nemogoča naloga.
Da bi preprečili nadaljnjo škodo, žrtvam svetujemo, da nemudoma odstranijo izsiljevalsko programsko opremo iz ogroženih sistemov. Aktivna prisotnost izsiljevalske programske opreme predstavlja tveganje za šifriranje dodatnih datotek in morebitno širjenje po omrežjih, kar vpliva na širši nabor računalnikov v prizadetem okolju.
Ključni koraki pri preprečevanju okužbe vaših naprav z izsiljevalsko programsko opremo
V trenutnem digitalnem scenariju je vedno bolj pomembno sprejeti zadostne varnostne ukrepe proti nešteto različnih groženj zlonamerne programske opreme. Če želite zmanjšati možnosti vdora v vaše naprave, poskrbite, da boste izvedli naslednje bistvene korake:
- Izvajajte zanesljive strategije varnostnega kopiranja : redno varnostno kopirajte pomembne podatke na zunanje diske, shrambo v oblaku ali storitve varnega varnostnega kopiranja. Zagotovite, da so varnostne kopije shranjene brez povezave, da preprečite, da bi jih izsiljevalska programska oprema dosegla in šifrirala. Redno preverjajte postopek obnovitve, da preverite celovitost varnostnih kopij.
- Posodabljajte programsko opremo in sisteme : redno posodabljajte operacijske sisteme, programske aplikacije in varnostne popravke na vseh napravah. Ransomware pogosto izkorišča ranljivosti v zastareli programski opremi. Omogočanje samodejnih posodobitev ali redno preverjanje posodobitev pomaga zagotoviti, da so sistemi zaščiteni pred znanimi ranljivostmi.
- Izobražujte in usposabljajte uporabnike : poučite uporabnike o tveganjih izsiljevalske programske opreme in pomenu varnih spletnih navad. Naučite jih prepoznati lažna e-poštna sporočila, sumljive povezave in priloge. Poudarite potrebo po močnih, edinstvenih geslih in uporabi večfaktorske avtentikacije. Dobro obveščena baza uporabnikov je ključna linija obrambe pred grožnjami izsiljevalske programske opreme.
- Namestite napredne varnostne rešitve : uporabite ugledno programsko opremo proti zlonamerni programski opremi z možnostjo skeniranja v realnem času. Izvedite rešitve za filtriranje e-pošte za prepoznavanje in karanteno morebitnih groženj. Razmislite o uporabi naprednih rešitev za odkrivanje groženj, ki lahko prepoznajo vzorce vedenja izsiljevalske programske opreme in tako zagotovijo dodatno raven obrambe.
- Omejite uporabniška dovoljenja : Omejite uporabniška dovoljenja samo na potrebne ravni, potrebne za njihove vloge. Uporabniki s skrbniškimi pravicami bi morali za vsakodnevna opravila uporabljati ločene račune, da zmanjšajo tveganje, da bi izsiljevalska programska oprema pridobila povišan dostop. Uveljavite načelo najmanjših privilegijev, da zmanjšate vpliv morebitnih napadov izsiljevalske programske opreme.
Z vključitvijo teh ukrepov v celovito strategijo kibernetske varnosti lahko uporabniki znatno zmanjšajo tveganje, da bi postali žrtve groženj izsiljevalske programske opreme. Redno pregledovanje in posodabljanje teh ukrepov za uskladitev s pojavnimi grožnjami je ključnega pomena za ohranjanje učinkovite obrambe pred razvijajočimi se taktikami izsiljevalske programske opreme.
Celotno besedilo obvestila o odkupnini, ki ga je odvrgla izsiljevalska programska oprema CoV, je naslednje:
'Hello,
All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoinNe pozabite poslati 0,03 bitcoina na ta naslov:
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dxČe nimate bitcoinov, kupujte tukaj:
www.paxful.com
Večji seznam najdete tukaj:
hxxps://bitcoin.org/en/exchangesPo pošiljanju bitcoina me kontaktirajte na te elektronske naslove:
covina@tuta.io ali covina1@skiff.com
s tem predmetom:Po potrditvi plačila vam bom poslal ključe vašega strežnika in dešifrator za samodejno dešifriranje vaših datotek.
Prejeli boste tudi informacije o tem, kako rešiti svojo varnostno težavo, da ne bi znova postali žrtev izsiljevalske programske opreme.
Od tega trenutka imate 3 dni časa, da me kontaktirate, da izvedem plačilo, drugače bom izbrisal ključe in bodite prepričani, da nihče ne bo mogel dešifrirati vaših datotek brez originalnih ključev, lahko poskusite, vendar boste izgubili čas in vaše datoteke.'
