Ransomware

Typo Ransomware est un crypto-virus dévastateur (variation de STOP Ransomware), qui utilise l'algorithme de chiffrement asymétrique AES-256 pour restreindre l'accès des utilisateurs à leurs fichiers sans la clé. Ajout de logiciels malveillants .typo extensions de fichiers les rendent illisibles et extorquent une rançon pour le décryptage. La variante "Typo" est apparue en mars 2023 et a infecté des dizaines de milliers d'ordinateurs dans le monde. Malheureusement, en raison de modifications techniques dans la dernière version, la récupération de fichiers est impossible sans sauvegardes. Cependant, certaines fonctionnalités et outils Windows standard peuvent vous aider à restaurer au moins certains fichiers. Un logiciel de récupération de fichiers peut également être utile dans ce cas. Dans la zone de texte ci-dessous, il y a un message texte de _readme.txt fichier, appelé "note de rançon". Ci-dessous dans la zone de texte, vous pouvez vous familiariser avec l'exemple d'un tel fichier. Dans ce fichier, les malfaiteurs divulguent des informations de contact, le prix du décryptage et les moyens de payer la rançon.

Rans-A est une nouvelle variante de chiffrement de fichiers appartenant à la famille Xorist. Après avoir réussi à infiltrer le système, le rançongiciel procédera au cryptage des données potentiellement importantes et ajoutera .Rans-A au nom de fichier d'origine. Par conséquent, un fichier précédemment accessible comme 1.pdf va changer pour 1.pdf.Rans-A et deviennent à accès restreint. L'objectif principal du ransomware est d'extorquer de l'argent aux victimes pour le décryptage des fichiers. Ainsi, le virus affiche un message d'erreur et crée un fichier texte appelé HOW TO DECRYPT FILES.txt que les deux montrent des instructions de décryptage (en portugais). Dans l'ensemble, les victimes affirment que le seul moyen de récupérer des données dans leur état d'origine est de contacter les cybercriminels dans le délai imparti. Si les victimes ne le font pas avant la fin du délai, le décryptage ne sera plus disponible. En outre, la note met également en garde les victimes contre la suppression, le changement de nom ou le signalement du message de rançon à tout site Web/autorité. Sinon, les e-mails des cybercriminels risquent de se retrouver bloqués et de ne plus accepter les demandes de décryptage des données. En règle générale, lorsqu'ils contactent les cybercriminels, ils fixent un prix à payer pour le décryptage.

Le nombre de requêtes liées à une nouvelle activité de ransomware augmente chaque jour avec de nouvelles infections. Cette fois-ci, les utilisateurs ont affaire à Tycx Rançongiciel, qui est une pièce nouvelle et dangereuse développée par le Djvu/STOP famille. Cette version particulière a commencé à infecter les ordinateurs dans la seconde moitié de mars 2023. Son activité récente a chiffré de nombreuses données personnelles avec des algorithmes puissants. Bien que Tycx Ransomware n'ait pas encore été totalement inspecté, certaines choses sont déjà claires. Par exemple, le virus reconfigure divers types de données (images, documents, bases de données, etc.) en changeant les extensions d'origine en .tycx. Cela signifie que tous les types de données enregistreront leur nom initial, mais changer l'extension principale en quelque chose comme ça "1.pdf.tycx". Une fois le processus de cryptage terminé, vous ne pourrez plus accéder à vos données. Afin de le récupérer, les extorqueurs ont programmé la création de notes identiques déposées dans des dossiers cryptés ou sur un bureau. Le nom de la note est généralement _readme.txt, qui contient des instructions détaillées sur la façon de récupérer vos données.

Tywd Rançongiciel (la dernière version de STOP or Djvu Ransomware) est extrêmement dangereux et l'un des virus de chiffrement les plus actifs. Plus de la moitié des soumissions de ransomwares à ID-Ransomware (service d'identification des ransomwares) sont faites par des victimes de STOP Ransomware. Bien qu'il soit en circulation depuis quelques années, le nombre d'infections causées par Tywd Ransomware continue d'augmenter. C'est peut-être un peu ironique, mais la plupart des victimes (pour le moment) sont des utilisateurs de logiciels piratés. La version du virus, qui est à l'étude aujourd'hui, ajoute .tywd extension aux fichiers. Le programme malveillant crée également un fichier texte (appelé _readme.txt) dans chaque dossier infecté, ce qui explique à l'utilisateur que son ordinateur est infecté, et qu'il ne pourra pas accéder à ses données tant qu'il n'aura pas payé une rançon de 980 $. Si l'utilisateur paie dans les 72 heures suivant l'infection, la rançon est réduite à 490 dollars américains. L'exemple de cette note de rançon est présenté ci-dessous.

Darj Ransomware est un virus de cryptage répandu et un maître chanteur, qui cible des fichiers personnels précieux. Appartient à STOP/Djvu groupe de logiciels malveillants. Après l'infection et le codage des données, les pirates commencent à extorquer la rançon. Il y a eu plus de 600 versions du ransomware, chaque version est légèrement modifiée pour contourner la protection, mais les empreintes principales restent les mêmes. Le malware utilise AES-256 en mode CFB. Peu de temps après le lancement, l'exécutable du cryptographe de la famille STOP se connecte à C&C, récupère la clé de chiffrement et l'ID d'infection pour le PC de la victime. Les données sont transmises via HTTP simple sous la forme de JSON. Si C&C n'est pas disponible (le PC n'est pas connecté à Internet, le serveur lui-même ne fonctionne pas), le cryptographe utilise la clé et l'ID codés en dur et effectue un cryptage hors ligne. Dans ce cas, vous pouvez décrypter les fichiers sans payer de rançon. Les variantes de STOP Ransomware peuvent être distinguées les unes des autres par des notes de rançon et des extensions qu'elles ajoutent aux fichiers cryptés. Pour STOP Ransomware en cours de recherche aujourd'hui, l'extension est : .darj. Le fichier de note de rançon _readme.txt est présenté ci-dessous dans la zone de texte et l'image. Dans l'article ci-dessous, nous expliquons comment supprimer complètement Darj Ransomware et comment décrypter ou restaurer les fichiers .darj.

Basn est une infection ransomware qui cible diverses entreprises. Lors de l'infiltration, il analyse rapidement le système à la recherche de fichiers potentiellement importants (par exemple, des documents, des bases de données, des vidéos, des images, etc.) et crypte leur accès. Au cours de ce processus, le virus attribue également ses propres .basn extension pour mettre en évidence les données bloquées. Par exemple, un fichier initialement nommé 1.xlsx va changer pour 1.xlsx.basn et réinitialiser son icône à vide. Après un cryptage réussi, le crypteur de fichiers supprime également un fichier texte nommé unlock your files.txt avec des instructions de décryptage à l'intérieur. À l'intérieur de la note, il est clairement indiqué que les données de la victime ont été cryptées et extraites sur les serveurs des cybercriminels. Pour débloquer les données cryptées et empêcher la fuite de données vers des ressources/chiffres louches, les extorqueurs demandent aux victimes de payer une rançon en crypto-monnaie Bitcoin ou Monero. Le prix n'est pas divulgué dans la note car il est susceptible de varier en fonction de la quantité et de la valeur des données cryptées. Malheureusement, à moins que le virus ne présente de graves vulnérabilités qui pourraient être exploitées, les cybercriminels sont généralement les seuls personnages capables de décrypter l'accès aux données complètement et en toute sécurité. Pour l'instant, aucun tiers n'est connu pour pouvoir contourner le cryptage appliqué par Basn Ransomware. Les seules options disponibles pour la récupération de données sont de collaborer avec les développeurs de ransomwares ou d'obtenir des données à partir de copies de sauvegarde existantes. Les sauvegardes sont des copies de données stockées sur des périphériques externes tels que des clés USB, des disques durs externes ou des SSD. Le seul inconvénient de l'auto-récupération est que les acteurs de la menace peuvent en effet publier les données collectées et donc nuire à la réputation de certaines entreprises s'ils sont réellement destinés à le faire.