CoV-Ransomware

Die CoV-Ransomware verfügt über die Fähigkeit, Dateien zu verschlüsseln, wodurch sie für die Opfer unzugänglich und unbrauchbar werden. Bei diesem Verschlüsselungsprozess wird die Erweiterung „.CoV“ an die ursprünglichen Dateinamen der betroffenen Dateien angehängt. Darüber hinaus geht die Bedrohung über die bloße Dateiverschlüsselung hinaus, indem sie das Desktop-Hintergrundbild verändert, eine Fehlermeldung anzeigt und eine Datei „HOW TO DECRYPT FILES.txt“ generiert. Diese Textdatei dient als Lösegeldschein und enthält detaillierte Anweisungen für das Opfer zur Zahlung des Lösegelds.

Sicherheitsforscher haben CoV eindeutig als Ransomware identifiziert, die zur Xorist- Malware-Familie gehört. Diese Klassifizierung weist darauf hin, dass CoV Eigenschaften und Funktionalitäten mit anderer Schadsoftware innerhalb derselben Familie teilt.

Um zu veranschaulichen, wie CoV Dateinamen während des Verschlüsselungsprozesses ändert, betrachten Sie die folgenden Beispiele: „1.png“ wird in „1.png.CoV“ umgewandelt, und „2.pdf“ wird zu „2.pdf.CoV“ und so weiter . Dieses charakteristische Namensmuster mit der angehängten Erweiterung „.CoV“ dient als klare Markierung der von der Ransomware betroffenen Dateien.

Opfer der CoV-Ransomware werden zur Zahlung von Lösegeld erpresst

Der von CoV Ransomware ausgestellte Lösegeldschein vermittelt den Opfern eine schlimme Situation und behauptet, dass alle kritischen Dateien verschlüsselt wurden, wodurch sie unzugänglich gemacht wurden. Um den Entschlüsselungsprozess zu erleichtern, verlangen die Angreifer die Zahlung von 0,03 Bitcoin unter Angabe einer bestimmten Bitcoin-Adresse (Wallet) für die Transaktion.

Nach Abschluss der Lösegeldzahlung werden die Opfer angewiesen, über zwei angegebene E-Mail-Adressen Kontakt mit dem Angreifer aufzunehmen: „covina@tuta.io“ oder „covina1@skiff.com“ und eine vordefinierte Betreffzeile zu verwenden. Es wird zugesichert, dass das Opfer nach Bestätigung der Zahlung Serverschlüssel und ein Entschlüsselungstool erhält, das den Dateientschlüsselungsprozess automatisieren soll.

Um die Dringlichkeit zu erhöhen, setzt der Lösegeldschein den Opfern eine Frist von drei Tagen für die Zahlung. Es wird ausdrücklich darauf hingewiesen, dass die Nichteinhaltung dieses Zeitfensters zur Löschung der Entschlüsselungsschlüssel führt und eine Dateiwiederherstellung ohne die Originalschlüssel unmöglich wird.

Trotz dieser Anweisungen raten Cybersicherheitsexperten den Opfern dringend davon ab, Lösegeld zu zahlen, und betonen, dass solche Zahlungen nicht die Wiederherstellung von Dateien gewährleisten und möglicherweise unbeabsichtigt kriminelle Aktivitäten unterstützen. Leider ist das Entschlüsseln von Dateien ohne die von den Angreifern bereitgestellten Spezialtools oft eine schwierige, wenn nicht unmögliche Aufgabe.

Um weiteren Schaden abzuwenden, wird den Opfern empfohlen, die Ransomware umgehend von den kompromittierten Systemen zu entfernen. Das aktive Vorhandensein von Ransomware birgt das Risiko, dass weitere Dateien verschlüsselt werden und sich möglicherweise über Netzwerke ausbreiten, wodurch eine größere Anzahl von Computern in der betroffenen Umgebung beeinträchtigt wird.

Entscheidende Schritte, um zu verhindern, dass Ransomware-Bedrohungen Ihre Geräte infizieren

Im aktuellen digitalen Szenario wird es immer wichtiger, ausreichende Sicherheitsmaßnahmen gegen die unzähligen verschiedenen Malware-Bedrohungen zu ergreifen. Um das Risiko eines Hackerangriffs auf Ihre Geräte zu minimieren, stellen Sie sicher, dass Sie die folgenden wesentlichen Schritte umsetzen:

• Implementieren Sie robuste Backup-Strategien : Sichern Sie wichtige Daten regelmäßig auf externen Laufwerken, Cloud-Speichern oder sicheren Backup-Diensten. Stellen Sie sicher, dass Backups offline gespeichert werden, um zu verhindern, dass Ransomware sie erreicht und verschlüsselt. Überprüfen Sie den Wiederherstellungsprozess regelmäßig, um die Integrität der Sicherungen zu überprüfen.
• Halten Sie Software und Systeme auf dem neuesten Stand : Aktualisieren Sie regelmäßig Betriebssysteme, Softwareanwendungen und Sicherheitspatches auf allen Geräten. Ransomware nutzt häufig Schwachstellen in veralteter Software aus. Durch die Aktivierung automatischer Updates oder die regelmäßige Suche nach Updates wird sichergestellt, dass Systeme vor bekannten Schwachstellen geschützt sind.
• Benutzer aufklären und schulen : Informieren Sie Benutzer über die Risiken von Ransomware und die Bedeutung sicherer Online-Gewohnheiten. Bringen Sie ihnen bei, Phishing-E-Mails, verdächtige Links und Anhänge zu erkennen. Betonen Sie die Notwendigkeit sicherer, eindeutiger Passwörter und der Verwendung einer Multi-Faktor-Authentifizierung. Eine gut informierte Benutzerbasis ist eine entscheidende Verteidigungslinie gegen Ransomware-Bedrohungen.
• Stellen Sie fortschrittliche Sicherheitslösungen bereit : Nutzen Sie seriöse Anti-Malware-Software mit Echtzeit-Scanfunktionen. Implementieren Sie E-Mail-Filterlösungen, um potenzielle Bedrohungen zu identifizieren und unter Quarantäne zu stellen. Erwägen Sie den Einsatz fortschrittlicher Bedrohungserkennungslösungen, die Verhaltensmuster von Ransomware erkennen und so eine zusätzliche Verteidigungsebene bieten können.
• Benutzerberechtigungen einschränken : Beschränken Sie die Benutzerberechtigungen auf die für ihre Rollen erforderlichen Ebenen. Benutzer mit Administratorrechten sollten für tägliche Aufgaben separate Konten verwenden, um das Risiko zu verringern, dass Ransomware erhöhten Zugriff erhält. Setzen Sie das Prinzip der geringsten Rechte in die Praxis um, um die Auswirkungen potenzieller Ransomware-Angriffe zu verringern.

Durch die Einbindung dieser Maßnahmen in eine umfassende Cybersicherheitsstrategie können Nutzer das Risiko, Opfer von Ransomware-Bedrohungen zu werden, deutlich reduzieren. Die regelmäßige Überprüfung und Aktualisierung dieser Maßnahmen zur Anpassung an neu auftretende Bedrohungen ist für die Aufrechterhaltung einer wirksamen Abwehr gegen sich entwickelnde Ransomware-Taktiken von entscheidender Bedeutung.

Der gesamte Text des von der CoV-Ransomware abgelegten Lösegeldscheins lautet wie folgt:

'Hello,

All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin

Stellen Sie sicher, dass Sie 0,03 Bitcoin an diese Adresse senden:
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dx

Wenn Sie keine Bitcoins besitzen, kaufen Sie hier:
www.paxful.com
Eine größere Liste finden Sie hier:
hxxps://bitcoin.org/en/exchanges

Kontaktieren Sie mich nach dem Senden des Bitcoins unter dieser E-Mail-Adresse:
covina@tuta.io oder covina1@skiff.com
mit diesem Thema:

Nach der Zahlungsbestätigung sende ich Ihnen Ihre Serverschlüssel und den Entschlüsseler, um Ihre Dateien automatisch zu entschlüsseln.

Sie erhalten außerdem Informationen darüber, wie Sie Ihr Sicherheitsproblem beheben können, um nicht erneut Opfer von Ransomware zu werden.

Von diesem Moment an haben Sie 3 Tage Zeit, mich zu kontaktieren, um die Zahlung vorzunehmen. Andernfalls werde ich die Schlüssel löschen und sicherstellen, dass niemand Ihre Dateien ohne die Originalschlüssel entschlüsseln kann. Sie können es versuchen, aber Sie werden Ihre Zeit verlieren Ihre Dateien.'