CoV Ransomware

Ransomware CoV thể hiện khả năng mã hóa các tập tin, khiến nạn nhân không thể truy cập và sử dụng chúng. Quá trình mã hóa này bao gồm việc thêm phần mở rộng '.CoV' vào tên tệp gốc của các tệp bị ảnh hưởng. Hơn nữa, mối đe dọa này còn vượt xa việc mã hóa tệp đơn thuần bằng cách thay đổi hình nền máy tính, hiển thị thông báo lỗi và tạo tệp 'CÁCH GIẢI QUYẾT FILES.txt'. Tệp văn bản này đóng vai trò như một thông báo đòi tiền chuộc nêu chi tiết hướng dẫn cho nạn nhân về cách trả tiền chuộc.

Các nhà nghiên cứu bảo mật đã xác định chắc chắn CoV là ransomware có liên kết với họ phần mềm độc hại Xorist . Phân loại này chỉ ra rằng CoV có chung đặc điểm và chức năng với các phần mềm độc hại khác trong cùng một dòng.

Để minh họa cách CoV sửa đổi tên tệp trong quá trình mã hóa, hãy xem xét các ví dụ sau: '1.png' được chuyển đổi thành '1.png.CoV' và '2.pdf' trở thành '2.pdf.CoV', v.v. . Mẫu đặt tên đặc biệt này với phần mở rộng '.CoV' được thêm vào đóng vai trò là điểm đánh dấu rõ ràng các tệp bị ảnh hưởng bởi phần mềm ransomware.

Nạn nhân của phần mềm tống tiền CoV bị tống tiền để trả tiền chuộc

Thông báo đòi tiền chuộc do Ransomware CoV đưa ra thông báo tình huống nghiêm trọng cho nạn nhân, khẳng định rằng tất cả các tệp quan trọng đã được mã hóa, khiến chúng không thể truy cập được. Để tạo điều kiện thuận lợi cho quá trình giải mã, kẻ tấn công yêu cầu thanh toán 0,03 Bitcoin, chỉ định một địa chỉ Bitcoin (ví) cụ thể cho giao dịch.

Sau khi hoàn tất việc thanh toán tiền chuộc, nạn nhân được hướng dẫn thiết lập liên hệ với kẻ tấn công qua hai địa chỉ email được chỉ định: 'covina@tuta.io' hoặc 'covina1@skiff.com', sử dụng dòng chủ đề được xác định trước. Sự đảm bảo được đưa ra là, sau khi xác nhận thanh toán, nạn nhân sẽ nhận được khóa máy chủ và công cụ giải mã, được thiết kế để tự động hóa quá trình giải mã tệp.

Thêm một mức độ khẩn cấp, thông báo đòi tiền chuộc áp đặt khung thời gian ba ngày để nạn nhân thực hiện thanh toán. Nó cảnh báo rõ ràng rằng việc không tuân thủ trong cửa sổ này sẽ dẫn đến việc xóa các khóa giải mã, khiến việc khôi phục tệp không thể thực hiện được nếu không có khóa gốc.

Bất chấp những hướng dẫn này, các chuyên gia an ninh mạng đặc biệt khuyến khích nạn nhân trả tiền chuộc, nhấn mạnh rằng những khoản thanh toán đó không đảm bảo việc khôi phục tệp và có thể vô tình hỗ trợ các hoạt động tội phạm. Thật không may, việc giải mã các tệp mà không có các công cụ chuyên dụng do kẻ tấn công cung cấp thường là một nhiệm vụ đầy thách thức, nếu không nói là không thể.

Để ngăn chặn thiệt hại thêm, nạn nhân nên loại bỏ phần mềm tống tiền khỏi hệ thống bị xâm nhập ngay lập tức. Sự hiện diện tích cực của ransomware có nguy cơ mã hóa các tệp bổ sung và có khả năng lây lan trên các mạng, ảnh hưởng đến nhiều máy tính hơn trong môi trường bị ảnh hưởng.

Các bước quan trọng trong việc ngăn chặn các mối đe dọa ransomware lây nhiễm vào thiết bị của bạn

Trong bối cảnh kỹ thuật số hiện nay, việc thực hiện các biện pháp bảo mật đầy đủ trước vô số mối đe dọa phần mềm độc hại khác nhau ngày càng trở nên quan trọng. Để giảm thiểu khả năng thiết bị của bạn bị xâm phạm, hãy đảm bảo thực hiện các bước thiết yếu sau:

• Triển khai các chiến lược sao lưu mạnh mẽ : Thường xuyên sao lưu dữ liệu quan trọng vào ổ đĩa ngoài, lưu trữ đám mây hoặc các dịch vụ sao lưu an toàn. Đảm bảo các bản sao lưu được lưu trữ ngoại tuyến để ngăn phần mềm tống tiền tiếp cận và mã hóa chúng. Thường xuyên kiểm tra quá trình khôi phục để xác minh tính toàn vẹn của bản sao lưu.
• Luôn cập nhật phần mềm và hệ thống : Thường xuyên cập nhật hệ điều hành, ứng dụng phần mềm và các bản vá bảo mật trên tất cả các thiết bị. Ransomware thường khai thác lỗ hổng trong phần mềm lỗi thời. Việc bật cập nhật tự động hoặc thường xuyên kiểm tra các bản cập nhật giúp đảm bảo rằng hệ thống được tăng cường chống lại các lỗ hổng đã biết.
• Giáo dục và Đào tạo Người dùng : Giáo dục người dùng về những rủi ro của ransomware và tầm quan trọng của thói quen trực tuyến an toàn. Huấn luyện họ cách nhận biết email lừa đảo, liên kết đáng ngờ và tệp đính kèm. Nhấn mạnh sự cần thiết của mật khẩu mạnh, duy nhất và việc sử dụng xác thực đa yếu tố. Cơ sở người dùng có đầy đủ thông tin là tuyến phòng thủ quan trọng chống lại các mối đe dọa từ ransomware.
• Triển khai các giải pháp bảo mật nâng cao : Sử dụng phần mềm chống phần mềm độc hại uy tín với khả năng quét theo thời gian thực. Triển khai các giải pháp lọc email để xác định và cách ly các mối đe dọa tiềm ẩn. Hãy cân nhắc triển khai các giải pháp phát hiện mối đe dọa nâng cao có thể xác định các kiểu hành vi của phần mềm tống tiền, cung cấp thêm lớp phòng thủ.
• Hạn chế quyền của người dùng : Chỉ giới hạn quyền của người dùng ở mức cần thiết cho vai trò của họ. Người dùng có đặc quyền quản trị nên sử dụng các tài khoản riêng biệt cho các công việc hàng ngày để giảm nguy cơ ransomware giành quyền truy cập nâng cao. Áp dụng nguyên tắc đặc quyền tối thiểu để giảm bớt tác động của các cuộc tấn công ransomware tiềm ẩn.

Bằng cách kết hợp các biện pháp này vào chiến lược an ninh mạng toàn diện, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của các mối đe dọa ransomware. Việc thường xuyên xem xét và cập nhật các biện pháp này để phù hợp với các mối đe dọa đang nổi lên là rất quan trọng để duy trì khả năng phòng thủ hiệu quả trước các chiến thuật ransomware đang phát triển.

Toàn bộ nội dung của thông báo đòi tiền chuộc do Ransomware CoV đánh rơi như sau:

'Hello,

All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin

Đảm bảo bạn gửi 0,03 bitcoin đến địa chỉ này:
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dx

Nếu bạn không sở hữu bitcoin, hãy mua từ đây:
www.paxful.com
Bạn có thể tìm thấy một danh sách lớn hơn ở đây:
hxxps://bitcoin.org/en/exchanges

Sau khi gửi bitcoin, hãy liên hệ với tôi theo địa chỉ email này:
covina@tuta.io hoặc covina1@skiff.com
với chủ đề này:

Sau khi xác nhận thanh toán, tôi sẽ gửi cho bạn khóa máy chủ và bộ giải mã để tự động giải mã các tệp của bạn.

Bạn cũng sẽ nhận được thông tin về cách giải quyết vấn đề bảo mật của mình để tránh trở thành nạn nhân của ransomware lần nữa.

Kể từ thời điểm này, bạn có 3 ngày để liên hệ với tôi để thực hiện thanh toán, nếu không tôi sẽ xóa khóa và đảm bảo rằng không ai có thể giải mã tệp của bạn nếu không có khóa gốc, bạn có thể thử nhưng bạn sẽ mất thời gian và tập tin của bạn.'