CoV Ransomware
CoV Ransomware แสดงความสามารถในการเข้ารหัสไฟล์ ทำให้เหยื่อไม่สามารถเข้าถึงได้และใช้งานไม่ได้ กระบวนการเข้ารหัสนี้เกี่ยวข้องกับการผนวกนามสกุล '.CoV' ต่อท้ายชื่อไฟล์ดั้งเดิมของไฟล์ที่ได้รับผลกระทบ นอกจากนี้ ภัยคุกคามยังไปไกลกว่าการเข้ารหัสไฟล์ด้วยการเปลี่ยนวอลเปเปอร์เดสก์ท็อป แสดงข้อความแสดงข้อผิดพลาด และสร้างไฟล์ 'HOW TO DECRYPT FILES.txt' ไฟล์ข้อความนี้ทำหน้าที่เป็นบันทึกค่าไถ่ซึ่งมีรายละเอียดคำแนะนำสำหรับเหยื่อเกี่ยวกับวิธีการชำระค่าไถ่
นักวิจัยด้านความปลอดภัยระบุโดยสรุปว่า CoV เป็นแรนซัมแวร์ที่เกี่ยวข้องกับตระกูลมัลแวร์ Xorist การจำแนกประเภทนี้บ่งชี้ว่า CoV แบ่งปันคุณลักษณะและฟังก์ชันการทำงานกับซอฟต์แวร์ที่เป็นอันตรายอื่นๆ ในตระกูลเดียวกัน
เพื่อแสดงให้เห็นว่า CoV แก้ไขชื่อไฟล์ในระหว่างกระบวนการเข้ารหัสอย่างไร ให้พิจารณาตัวอย่างต่อไปนี้: '1.png' ถูกแปลงเป็น '1.png.CoV' และ '2.pdf' กลายเป็น '2.pdf.CoV' และอื่นๆ . รูปแบบการตั้งชื่อที่โดดเด่นซึ่งมีนามสกุล '.CoV' ต่อท้ายนี้ทำหน้าที่เป็นเครื่องหมายที่ชัดเจนของไฟล์ที่ได้รับผลกระทบจากแรนซัมแวร์
ผู้ที่ตกเป็นเหยื่อของ CoV Ransomware ถูกขู่กรรโชกให้จ่ายค่าไถ่
หมายเหตุค่าไถ่ที่ออกโดย CoV Ransomware สื่อสารสถานการณ์ที่เลวร้ายแก่เหยื่อ โดยยืนยันว่าไฟล์สำคัญทั้งหมดได้รับการเข้ารหัส ทำให้ไม่สามารถเข้าถึงได้ เพื่ออำนวยความสะดวกในกระบวนการถอดรหัส ผู้โจมตีต้องการการชำระเงิน 0.03 Bitcoin โดยระบุที่อยู่ Bitcoin (กระเป๋าเงิน) เฉพาะสำหรับการทำธุรกรรม
เมื่อชำระค่าไถ่เสร็จสิ้น เหยื่อจะถูกขอให้ติดต่อกับผู้โจมตีผ่านที่อยู่อีเมลที่ระบุสองแห่ง: 'covina@tuta.io' หรือ 'covina1@skiff.com' โดยใช้หัวเรื่องที่กำหนดไว้ล่วงหน้า การรับประกันที่ได้รับคือ เมื่อยืนยันการชำระเงิน เหยื่อจะได้รับคีย์เซิร์ฟเวอร์และเครื่องมือถอดรหัส ซึ่งได้รับการออกแบบมาเพื่อทำให้กระบวนการถอดรหัสไฟล์เป็นแบบอัตโนมัติ
เพิ่มความเร่งด่วนอีกขั้น บันทึกเรียกค่าไถ่กำหนดกรอบเวลาสามวันเพื่อให้เหยื่อชำระเงิน เตือนอย่างชัดเจนว่าการไม่ปฏิบัติตามภายในหน้าต่างนี้จะส่งผลให้มีการลบคีย์ถอดรหัส ส่งผลให้การกู้คืนไฟล์เป็นไปไม่ได้หากไม่มีคีย์ดั้งเดิม
แม้จะมีคำแนะนำเหล่านี้ แต่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ก็ไม่สนับสนุนให้เหยื่อจ่ายค่าไถ่ โดยเน้นว่าการชำระเงินดังกล่าวไม่รับประกันการกู้คืนไฟล์และอาจสนับสนุนกิจกรรมทางอาญาโดยไม่ได้ตั้งใจ น่าเสียดายที่การถอดรหัสไฟล์โดยไม่มีเครื่องมือพิเศษที่ผู้โจมตีมอบให้มักเป็นงานที่ท้าทายหรือเป็นไปไม่ได้
เพื่อป้องกันความเสียหายเพิ่มเติม เหยื่อควรลบแรนซัมแวร์ออกจากระบบที่ถูกบุกรุกทันที การมีอยู่ของแรนซัมแวร์ที่ใช้งานอยู่ทำให้เกิดความเสี่ยงในการเข้ารหัสไฟล์เพิ่มเติม และอาจแพร่กระจายไปทั่วเครือข่าย ส่งผลกระทบต่อคอมพิวเตอร์ในวงกว้างภายในสภาพแวดล้อมที่ได้รับผลกระทบ
ขั้นตอนสำคัญในการป้องกันภัยคุกคามจากแรนซัมแวร์ไม่ให้ติดอุปกรณ์ของคุณ
ในสถานการณ์ดิจิทัลในปัจจุบัน การใช้มาตรการรักษาความปลอดภัยที่เพียงพอเพื่อต่อต้านภัยคุกคามมัลแวร์ต่างๆ ที่มีอยู่มากมายมีความสำคัญมากขึ้นเรื่อยๆ เพื่อลดโอกาสที่อุปกรณ์ของคุณจะถูกละเมิด โปรดปฏิบัติตามขั้นตอนสำคัญต่อไปนี้:
- ใช้กลยุทธ์การสำรองข้อมูลที่แข็งแกร่ง : สำรองข้อมูลสำคัญเป็นประจำไปยังไดรฟ์ภายนอก ที่เก็บข้อมูลบนคลาวด์ หรือบริการสำรองข้อมูลที่ปลอดภัย ตรวจสอบให้แน่ใจว่าการสำรองข้อมูลถูกเก็บไว้แบบออฟไลน์เพื่อป้องกันไม่ให้แรนซัมแวร์เข้าถึงและเข้ารหัสข้อมูลเหล่านั้น ตรวจสอบกระบวนการกู้คืนเป็นประจำเพื่อตรวจสอบความสมบูรณ์ของการสำรองข้อมูล
- อัปเดตซอฟต์แวร์และระบบอยู่เสมอ : อัปเดตระบบปฏิบัติการ แอปพลิเคชันซอฟต์แวร์ และแพตช์ความปลอดภัยบนอุปกรณ์ทั้งหมดเป็นประจำ Ransomware มักจะหาประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ล้าสมัย การเปิดใช้งานการอัปเดตอัตโนมัติหรือการตรวจสอบการอัปเดตเป็นประจำช่วยให้แน่ใจว่าระบบได้รับการเสริมความแข็งแกร่งจากช่องโหว่ที่ทราบ
- ให้ความรู้และฝึกอบรมผู้ใช้ : ให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงของแรนซัมแวร์และความสำคัญของพฤติกรรมออนไลน์ที่ปลอดภัย ฝึกให้พวกเขารู้จักอีเมลฟิชชิ่ง ลิงก์ที่น่าสงสัย และไฟล์แนบ เน้นย้ำถึงความจำเป็นในการใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน และการใช้การรับรองความถูกต้องแบบหลายปัจจัย ฐานผู้ใช้ที่มีความรู้เป็นแนวทางสำคัญในการป้องกันภัยคุกคามแรนซัมแวร์
- ปรับใช้โซลูชั่นความปลอดภัยขั้นสูง : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงพร้อมความสามารถในการสแกนแบบเรียลไทม์ ใช้โซลูชันการกรองอีเมลเพื่อระบุและกักกันภัยคุกคามที่อาจเกิดขึ้น พิจารณาปรับใช้โซลูชันการตรวจจับภัยคุกคามขั้นสูงที่สามารถระบุรูปแบบพฤติกรรมของแรนซัมแวร์ได้ โดยให้การป้องกันเพิ่มเติมอีกชั้นหนึ่ง
- จำกัดสิทธิ์ของผู้ใช้ : จำกัดสิทธิ์ของผู้ใช้ให้อยู่ในระดับที่จำเป็นสำหรับบทบาทของพวกเขาเท่านั้น ผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบควรใช้บัญชีแยกต่างหากสำหรับงานรายวันเพื่อลดความเสี่ยงที่แรนซัมแวร์จะเข้าถึงได้ในระดับสูง นำหลักการของสิทธิพิเศษน้อยที่สุดไปใช้จริงเพื่อลดผลกระทบของการโจมตีของแรนซัมแวร์ที่อาจเกิดขึ้น
ด้วยการรวมมาตรการเหล่านี้เข้ากับกลยุทธ์ความปลอดภัยทางไซเบอร์ที่ครอบคลุม ผู้ใช้สามารถลดความเสี่ยงในการตกเป็นเหยื่อของภัยคุกคามแรนซัมแวร์ได้อย่างมาก การทบทวนและอัปเดตมาตรการเหล่านี้เป็นประจำเพื่อให้สอดคล้องกับภัยคุกคามที่ปรากฏเป็นสิ่งสำคัญในการรักษาการป้องกันที่มีประสิทธิภาพต่อกลยุทธ์แรนซัมแวร์ที่พัฒนาอยู่
ข้อความทั้งหมดในบันทึกเรียกค่าไถ่ที่ตกโดย CoV Ransomware มีดังต่อไปนี้:
'Hello,
All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoinตรวจสอบให้แน่ใจว่าคุณส่ง 0.03 bitcoin ไปยังที่อยู่นี้:
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dxหากคุณไม่ได้เป็นเจ้าของ bitcoins ให้ซื้อจากที่นี่:
www.paxful.com
คุณสามารถค้นหารายการที่ใหญ่กว่าได้ที่นี่:
hxxps://bitcoin.org/en/exchangesหลังจากส่ง bitcoin แล้ว โปรดติดต่อฉันตามที่อยู่อีเมลนี้:
covina@tuta.io หรือ covina1@skiff.com
กับหัวข้อนี้:หลังจากยืนยันการชำระเงิน ฉันจะส่งคีย์เซิร์ฟเวอร์และตัวถอดรหัสของคุณเพื่อถอดรหัสไฟล์ของคุณโดยอัตโนมัติ
คุณยังจะได้รับข้อมูลเกี่ยวกับวิธีการแก้ไขปัญหาด้านความปลอดภัยเพื่อหลีกเลี่ยงการตกเป็นเหยื่อของแรนซัมแวร์อีกครั้ง
จากนี้ไป คุณมีเวลา 3 วันในการติดต่อฉันเพื่อชำระเงิน ไม่เช่นนั้นฉันจะลบกุญแจออก และต้องแน่ใจว่าจะไม่มีใครสามารถถอดรหัสไฟล์ของคุณโดยไม่ต้องใช้กุญแจดั้งเดิม คุณสามารถลองได้ แต่คุณจะเสียเวลาและ ไฟล์ของคุณ
