CoV Ransomware

Le CoV Ransomware présente la capacité de crypter des fichiers, les rendant inaccessibles et inutilisables pour les victimes. Ce processus de cryptage consiste à ajouter l'extension « .CoV » aux noms de fichiers originaux des fichiers concernés. De plus, la menace va au-delà du simple cryptage de fichiers en modifiant le fond d'écran du bureau, en présentant un message d'erreur et en générant un fichier « COMMENT DÉCRYPTER FILES.txt ». Ce fichier texte sert de note de rançon détaillant les instructions destinées à la victime sur la manière de payer la rançon.

Les chercheurs en sécurité ont identifié de manière concluante CoV comme un ransomware affilié à la famille de logiciels malveillants Xorist . Cette classification indique que CoV partage des caractéristiques et des fonctionnalités avec d’autres logiciels malveillants au sein de la même famille.

Pour illustrer comment CoV modifie les noms de fichiers pendant le processus de cryptage, considérons les exemples suivants : « 1.png » est transformé en « 1.png.CoV » et « 2.pdf » devient « 2.pdf.CoV », et ainsi de suite. . Ce modèle de dénomination distinctif, auquel est ajouté l'extension « .CoV », sert de marqueur clair des fichiers affectés par le ransomware.

Les victimes du ransomware CoV sont extorquées pour payer des rançons

La demande de rançon émise par CoV Ransomware fait part d'une situation désastreuse aux victimes, affirmant que tous les fichiers critiques ont été cryptés, les rendant inaccessibles. Pour faciliter le processus de décryptage, les attaquants exigent le paiement de 0,03 Bitcoin, en spécifiant une adresse Bitcoin (portefeuille) particulière pour la transaction.

Une fois le paiement de la rançon effectué, les victimes sont invitées à établir un contact avec l'attaquant via deux adresses e-mail spécifiées : « covina@tuta.io » ou « covina1@skiff.com », en utilisant une ligne d'objet prédéfinie. L'assurance donnée est que, dès confirmation du paiement, la victime recevra les clés du serveur et un outil de décryptage, conçu pour automatiser le processus de décryptage des fichiers.

Ajoutant un niveau d'urgence, la demande de rançon impose aux victimes un délai de trois jours pour effectuer le paiement. Il avertit explicitement que le non-respect de cette fenêtre entraînera la suppression des clés de déchiffrement, rendant la récupération des fichiers impossible sans les clés d'origine.

Malgré ces instructions, les experts en cybersécurité déconseillent fortement aux victimes de payer des rançons, soulignant que de tels paiements ne garantissent pas la récupération des fichiers et peuvent par inadvertance soutenir des activités criminelles. Malheureusement, décrypter des fichiers sans les outils spécialisés fournis par les attaquants est souvent une tâche difficile, voire impossible.

Afin d’éviter d’autres dommages, il est conseillé aux victimes de supprimer rapidement le ransomware des systèmes compromis. La présence active de ransomwares présente le risque de chiffrer des fichiers supplémentaires et de se propager potentiellement sur les réseaux, affectant ainsi un plus grand nombre d'ordinateurs dans l'environnement affecté.

Étapes cruciales pour empêcher les menaces de ransomware d’infecter vos appareils

Dans le contexte numérique actuel, il est de plus en plus essentiel de prendre des mesures de sécurité suffisantes contre la myriade de menaces de logiciels malveillants. Pour minimiser les risques de violation de vos appareils, assurez-vous de mettre en œuvre les étapes essentielles suivantes :

• Mettez en œuvre des stratégies de sauvegarde robustes : sauvegardez régulièrement les données importantes sur des disques externes, un stockage cloud ou des services de sauvegarde sécurisés. Assurez-vous que les sauvegardes sont stockées hors ligne pour empêcher les ransomwares de les atteindre et de les chiffrer. Vérifiez régulièrement le processus de restauration pour vérifier l'intégrité des sauvegardes.
• Gardez les logiciels et les systèmes à jour : mettez régulièrement à jour les systèmes d'exploitation, les applications logicielles et les correctifs de sécurité sur tous les appareils. Les ransomwares exploitent souvent les vulnérabilités des logiciels obsolètes. L'activation des mises à jour automatiques ou la vérification régulière des mises à jour permet de garantir que les systèmes sont protégés contre les vulnérabilités connues.
• Éduquer et former les utilisateurs : éduquez les utilisateurs sur les risques liés aux ransomwares et sur l'importance d'habitudes en ligne sûres. Apprenez-leur à reconnaître les e-mails de phishing, les liens suspects et les pièces jointes. Insistez sur la nécessité de mots de passe forts et uniques et sur l’utilisation d’une authentification multifacteur. Une base d’utilisateurs bien informés constitue une ligne de défense cruciale contre les menaces de ransomware.
• Déployez des solutions de sécurité avancées : utilisez un logiciel anti-malware réputé avec des capacités d'analyse en temps réel. Mettez en œuvre des solutions de filtrage des e-mails pour identifier et mettre en quarantaine les menaces potentielles. Envisagez de déployer des solutions avancées de détection des menaces capables d'identifier les modèles de comportement des ransomwares, fournissant ainsi une couche de défense supplémentaire.
• Restreindre les autorisations des utilisateurs : limitez les autorisations des utilisateurs aux seuls niveaux nécessaires requis pour leurs rôles. Les utilisateurs disposant de privilèges administratifs doivent utiliser des comptes distincts pour les tâches quotidiennes afin de réduire le risque que les ransomwares obtiennent un accès élevé. Mettez en pratique le principe du moindre privilège pour réduire l’impact des attaques potentielles de ransomware.

En intégrant ces mesures dans une stratégie globale de cybersécurité, les utilisateurs peuvent réduire considérablement le risque d’être victime de menaces de ransomware. Il est essentiel de réviser et de mettre à jour régulièrement ces mesures pour les aligner sur les menaces qui font surface afin de maintenir une défense efficace contre l’évolution des tactiques de ransomware.

Le texte complet de la demande de rançon déposée par le CoV Ransomware est le suivant :

'Hello,

All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin

Assurez-vous d'envoyer 0,03 bitcoin à cette adresse :
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dx

Si vous ne possédez pas de bitcoins, achetez-les ici :
www.paxful.com
Vous pouvez trouver une liste plus longue ici :
hxxps://bitcoin.org/en/exchanges

Après avoir envoyé le bitcoin, contactez-moi à ces adresses email :
covina@tuta.io ou covina1@skiff.com
avec ce sujet :

Après confirmation du paiement, je vous enverrai vos clés de serveur et votre décrypteur pour décrypter automatiquement vos fichiers.

Vous recevrez également des informations sur la façon de résoudre votre problème de sécurité pour éviter de devenir à nouveau victime d'un ransomware.

A partir de ce moment vous avez 3 jours pour me contacter pour effectuer le paiement, sinon je supprimerai les clés, et je serai sûr que personne ne pourra décrypter vos fichiers sans les clés originales, vous pouvez essayer mais vous perdrez votre temps et vos fichiers.'