CoV Ransomware

El CoV Ransomware exhibe la capacidad de cifrar archivos, volviéndolos inaccesibles e inutilizables para las víctimas. Este proceso de cifrado implica agregar la extensión '.CoV' a los nombres de archivo originales de los archivos afectados. Además, la amenaza va más allá del simple cifrado de archivos: altera el fondo de pantalla del escritorio, presenta un mensaje de error y genera un archivo "CÓMO DESCIFRAR ARCHIVOS.txt". Este archivo de texto sirve como una nota de rescate que detalla las instrucciones para la víctima sobre cómo pagar el rescate.

Los investigadores de seguridad han identificado de manera concluyente a CoV como ransomware afiliado a la familia de malware Xorist . Esta clasificación indica que CoV comparte características y funcionalidades con otros software maliciosos dentro de la misma familia.

Para ilustrar cómo CoV modifica los nombres de archivos durante el proceso de cifrado, considere los siguientes ejemplos: '1.png' se transforma en '1.png.CoV' y '2.pdf' se convierte en '2.pdf.CoV', y así sucesivamente. . Este patrón de nomenclatura distintivo con la extensión '.CoV' adjunta sirve como un marcador claro de los archivos afectados por el ransomware.

Las víctimas del ransomware CoV son extorsionadas para que paguen rescates

La nota de rescate emitida por CoV Ransomware comunica una situación terrible a las víctimas, afirmando que todos los archivos críticos han sido cifrados, volviéndolos inaccesibles. Para facilitar el proceso de descifrado, los atacantes exigen el pago de 0,03 Bitcoin, especificando una dirección (billetera) de Bitcoin particular para la transacción.

Al completar el pago del rescate, las víctimas deben establecer contacto con el atacante a través de dos direcciones de correo electrónico específicas: 'covina@tuta.io' o 'covina1@skiff.com', utilizando una línea de asunto predefinida. La seguridad dada es que, tras la confirmación del pago, la víctima recibirá claves del servidor y una herramienta de descifrado, diseñada para automatizar el proceso de descifrado de archivos.

Agregando una capa de urgencia, la nota de rescate impone un plazo de tres días para que las víctimas realicen el pago. Advierte explícitamente que el incumplimiento dentro de esta ventana resultará en la eliminación de las claves de descifrado, lo que hará imposible la recuperación del archivo sin las claves originales.

A pesar de estas instrucciones, los expertos en ciberseguridad desaconsejan encarecidamente a las víctimas que paguen rescates, enfatizando que dichos pagos no garantizan la recuperación de archivos y, sin darse cuenta, pueden respaldar actividades delictivas. Desafortunadamente, descifrar archivos sin las herramientas especializadas proporcionadas por los atacantes suele ser una tarea desafiante, si no imposible.

Con el fin de evitar daños mayores, se recomienda a las víctimas que eliminen lo antes posible el ransomware de los sistemas comprometidos. La presencia activa de ransomware plantea el riesgo de cifrar archivos adicionales y potencialmente propagarse a través de redes, afectando a una gama más amplia de computadoras dentro del entorno afectado.

Pasos cruciales para evitar que las amenazas de ransomware infecten sus dispositivos

En el escenario digital actual, es cada vez más vital tomar suficientes medidas de seguridad contra la infinidad de amenazas de malware diferentes que existen. Para minimizar las posibilidades de que sus dispositivos sean vulnerados, asegúrese de implementar los siguientes pasos esenciales:

• Implemente estrategias de copia de seguridad sólidas : realice copias de seguridad periódicas de los datos importantes en unidades externas, almacenamiento en la nube o servicios de copia de seguridad seguros. Asegúrese de que las copias de seguridad se almacenen sin conexión para evitar que el ransomware las alcance y las cifre. Verifique periódicamente el proceso de restauración para verificar la integridad de las copias de seguridad.
• Mantenga el software y los sistemas actualizados : actualice periódicamente los sistemas operativos, las aplicaciones de software y los parches de seguridad en todos los dispositivos. El ransomware a menudo aprovecha las vulnerabilidades del software obsoleto. Habilitar actualizaciones automáticas o buscar actualizaciones periódicamente ayuda a garantizar que los sistemas estén protegidos contra vulnerabilidades conocidas.
• Educar y capacitar a los usuarios : educar a los usuarios sobre los riesgos del ransomware y la importancia de tener hábitos seguros en línea. Enséñales a reconocer correos electrónicos de phishing, enlaces sospechosos y archivos adjuntos. Enfatice la necesidad de contraseñas seguras y únicas y el uso de autenticación multifactor. Una base de usuarios bien informada es una línea de defensa crucial contra las amenazas de ransomware.
• Implemente soluciones de seguridad avanzadas : utilice software antimalware confiable con capacidades de escaneo en tiempo real. Implemente soluciones de filtrado de correo electrónico para identificar y poner en cuarentena amenazas potenciales. Considere implementar soluciones avanzadas de detección de amenazas que puedan identificar patrones de comportamiento de ransomware, proporcionando una capa adicional de defensa.
• Restringir permisos de usuario : limite los permisos de usuario solo a los niveles necesarios para sus funciones. Los usuarios con privilegios administrativos deben usar cuentas separadas para las tareas diarias para reducir el riesgo de que el ransomware obtenga acceso elevado. Ponga en práctica el principio de privilegio mínimo para disminuir el impacto de posibles ataques de ransomware.

Al incorporar estas medidas en una estrategia integral de ciberseguridad, los usuarios pueden reducir significativamente el riesgo de ser víctimas de amenazas de ransomware. Revisar y actualizar periódicamente estas medidas para alinearlas con las amenazas emergentes es crucial para mantener una defensa eficaz contra las tácticas de ransomware en evolución.

El texto completo de la nota de rescate arrojada por CoV Ransomware es el siguiente:

'Hello,

All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin

Asegúrate de enviar 0,03 bitcoins a esta dirección:
bc1qvxl7lc9kehsh3y3m2aatekpyjs8pd2zx3j34dx

Si no posee bitcoins, compre desde aquí:
www.paxful.com
Puedes encontrar una lista más grande aquí:
hxxps://bitcoin.org/en/exchanges

Después de enviar el bitcoin, contácteme a esta dirección de correo electrónico:
covina@tuta.io o covina1@skiff.com
con este tema:

Después de la confirmación del pago, le enviaré las claves de su servidor y el descifrador para descifrar sus archivos automáticamente.

También recibirá información sobre cómo resolver su problema de seguridad para evitar volver a ser víctima de ransomware.

A partir de este momento tienes 3 días para contactarme para realizar el pago, de lo contrario borraré las claves, y asegúrate de que nadie podrá descifrar tus archivos sin las claves originales, puedes intentarlo pero perderás tu tiempo y tus archivos.'