CoV Ransomware appartient à la famille de clones Xorist

CoV est une variante de ransomware associée à la famille Xorist. Lors de l'infection d'un ordinateur, CoV crypte les fichiers et ajoute l'extension « .CoV » à leurs noms de fichiers. De plus, il modifie le fond d'écran du bureau, affiche un message d'erreur et génère une demande de rançon intitulée « COMMENT DÉCRYPTER FILES.txt ».

Pour illustrer comment CoV modifie les noms de fichiers cryptés, il transforme « 1.jpg » en « 1.jpg.CoV », « 2.png » en « 2.png.CoV », etc. La demande de rançon informe la victime du cryptage des fichiers essentiels et fournit des instructions pour le décryptage. Une rançon de 0,03 Bitcoin est demandée, avec une adresse Bitcoin (portefeuille) spécifique spécifiée pour la transaction.

Lors du paiement, la victime est invitée à contacter l'attaquant via deux adresses e-mail : covina@tuta.io ou covina1@skiff.com, avec une ligne d'objet désignée. Lors de la confirmation du paiement, l'assurance est donnée de recevoir les clés du serveur et un outil de décryptage automatique des fichiers.

La note met l'accent sur un délai de paiement de trois jours, après quoi les clés seront supprimées, rendant la récupération des fichiers impossible sans les clés d'origine.

La note de rançon CoV exige 0,3 BTC comme paiement

Le texte complet de la demande de rançon générée par le ransomware CoV se lit comme suit :

Hello,

All your important files are encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin

Make sure you send 0.03 bitcoin to this address:
(alphanumeric string)

If you do not own bitcoins, buy from here:
www.paxful.com
You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email addresses:
covina@tuta.io or covina1@skiff.com
with this subject: -

After payment confirmation, I will send you your server keys and decryptor to decrypt your files automatically.

You will also receive information on how to resolve your security issue to avoid becoming a victim of ransomware again.

A partir de ce moment vous avez 3 jours pour me contacter pour effectuer le paiement, sinon je supprimerai les clés, et je serai sûr que personne ne pourra décrypter vos fichiers sans les clés originales, vous pouvez essayer mais vous perdrez votre temps et vos fichiers.

Comment pouvez-vous protéger vos données contre les attaques de ransomwares ?

La protection de vos données contre les attaques de ransomwares est cruciale pour maintenir la sécurité et l'intégrité de vos informations. Voici plusieurs mesures que vous pouvez prendre pour améliorer votre défense contre les ransomwares :

Sauvegardes régulières :
Sauvegardez régulièrement vos données importantes et assurez-vous que les sauvegardes sont stockées hors ligne ou dans un environnement séparé et sécurisé. Cela vous permet de restaurer vos fichiers sans avoir à payer de rançon.

Logiciel de mise à jour :
Gardez votre système d'exploitation, votre logiciel antivirus et toutes vos applications à jour. Les mises à jour régulières incluent souvent des correctifs de sécurité qui corrigent les vulnérabilités exploitées par les ransomwares.

Sécurité des e-mails :
Soyez prudent avec les pièces jointes et les liens des e-mails, en particulier provenant de sources inconnues ou suspectes. Évitez d'ouvrir des pièces jointes ou de cliquer sur des liens dans des e-mails qui semblent inattendus ou proviennent d'expéditeurs inconnus.

Pare-feu:
Activez un pare-feu sur votre réseau et vos appareils individuels. Les pare-feu agissent comme une barrière entre votre ordinateur et les menaces potentielles, bloquant les accès non autorisés.

Contrôle d'accès:
Mettez en œuvre le principe du moindre privilège (PoLP) pour restreindre l'accès des utilisateurs au minimum nécessaire à leurs rôles. Cela permet de limiter l’impact d’une infection par ransomware.