Angrepet rammet fredag kveld en av kjedens leverandører og førte til at Coops betalingssystem brøt sammen.
Lørdag ba Coop alle sine svenske butikker om å holde stengt ettersom feilen fortsatt ikke var rettet.
Kjeden står for 20 prosent av dagligvareomsetningen i Sverige.
Svenske medier melder at angrepet er koblet til et omfattende internasjonalt hackingangrep der det kreves løsesummer,.
– Vi tror ikke angrepet er rettet mot oss, men mot leverandøren vi har, sier Coops pressetalsperson Therese Knapp.
Amerikansk IT-selskap
Det amerikanske programvareselskapet Kaseya ba fredag sine kunder om å skru av servere knyttet til selskapets plattform etter at flere titall bedrifter ble rammet av skadelig programvare.
Denne typen angrep sørger for å låse selskapers datasystem, hvorpå hackerne krever penger for å lukke det opp igjen. De siste ukene har slike angrep rammet rørledninger, helseinstitusjoner og en rekke store selskaper rundt omkring i verden.
Angrepet mot Kaseya har trolig skjedd i forbindelse med en falsk oppdatering av programvaren hos selskapets kunder.
Ifølge nyhetsbyrået TT har Kaseya koblinger til Coop. De to selskapene sendte i 2009 ut en pressemelding der det står at de innleder et IT-samarbeid.
Coop vil imidlertid ikke bekrefte at det fins en kobling.
Peker på Russland
Den russiske REvil-banden synes å stå bak angrepet, ifølge John Hammond i sikkerhetsfirmaet Huntress Labs.
En ekspert på løsepengehacking, Brett Callow, sier at han ikke kjenner til noe annet løsepengeangrep som er like omfattende.
Han sammenligner med SolarWinds-angrepet i desember da en rekke bedrifter og statlige organer i USA ble angrepet. USA har anklaget Russland for å stå bak angrepet.
Dataangrepene var også tema på toppmøtet mellom USAs president Joe Biden og hans russiske motpart Vladimir Putin i juni.
Høyteknologisk råvare hardt rammet av orkanen Helene