Ransomware

GREEDYFATHER est un type de ransomware, un logiciel malveillant qui crypte les données sur l'ordinateur d'une victime et exige une rançon pour leur décryptage. Cet article fournira une compréhension complète du ransomware GREEDYFATHER, de ses méthodes d'infection, des extensions de fichiers qu'il ajoute, du cryptage qu'il utilise, de la demande de rançon qu'il crée et des outils et méthodes de décryptage potentiels. GREEDYFATHER Ransomware ajoute le .GREEDYFATHER extension aux noms de fichiers des fichiers cryptés. Par exemple, un fichier nommé 1.jpg serait renommé en 1.jpg.GREEDYFATHER. L'algorithme de cryptage spécifique utilisé par le ransomware GREEDYFATHER n'est pas explicitement mentionné dans les résultats de recherche. Cependant, les ransomwares utilisent généralement des algorithmes de cryptage puissants, tels que AES (Advanced Encryption Standard) ou RSA (Rivest-Shamir-Adleman), pour crypter les fichiers. Ces méthodes de cryptage sont pratiquement incassables sans la bonne clé de décryptage. Après avoir crypté les fichiers, GREEDYFATHER crée une demande de rançon nommée GREEDYFATHER.txt dans chaque répertoire contenant les fichiers cryptés. La note rassure la victime sur le fait que les fichiers cryptés peuvent être restaurés et lui demande d'envoyer quelques fichiers verrouillés aux attaquants pour un test de décryptage. Il met également en garde contre l’utilisation d’outils de décryptage gratuits.

Ljaz Ransomware est un type de logiciel malveillant qui crypte les fichiers sur l'ordinateur d'une victime, les rendant ainsi inaccessibles. Les attaquants exigent ensuite une rançon, souvent sous forme de cryptomonnaie, en échange de la fourniture de la clé de décryptage ou de l’outil nécessaire pour déverrouiller les fichiers cryptés. Ljaz Ransomware ajoute le .ljaz extension de fichier aux fichiers cryptés. Ljaz Ransomware crée une demande de rançon dans un fichier texte nommé _readme.txt. Cette note contient généralement des instructions sur la façon de payer la rançon pour obtenir la clé ou l'outil de décryptage. La famille STOP/Djvu Ransomware utilise l'algorithme de cryptage Salsa20 pour crypter les fichiers de la victime. Il utilise également le cryptage RSA, qui est l'une des méthodes de cryptage les plus couramment utilisées par les groupes de ransomwares. Le ransomware commence sa chaîne d'exécution avec plusieurs niveaux d'obscurcissement conçus pour ralentir l'analyse de son code par les analystes des menaces et les bacs à sable automatisés.

Ljuy Ransomware est un type de malware appartenant à la famille Djvu. Il est conçu pour infiltrer un système informatique, crypter des fichiers, puis exiger une rançon pour le décryptage de ces fichiers. Le ransomware utilise un algorithme de chiffrement robuste connu sous le nom de Salsa20, commun à tous les autres membres de la famille de ransomwares STOP/Djvu. Une fois à l’intérieur d’un système, le ransomware Ljuy crypte les fichiers et ajoute son extension (.ljuy) aux noms de fichiers. Par exemple, ça change 1.jpg à 1.jpg.ljuy, 2.png à 2.png.ljuy, et ainsi de suite. Le ransomware Ljuy crée un fichier texte nommé _readme.txt, qui sert de note de rançon. Cette note contient les informations de paiement et de contact. Il informe la victime que ses fichiers, notamment des images, des bases de données, des documents et d'autres données cruciales, ont été cryptés à l'aide d'un algorithme puissant et ne peuvent être récupérés que via l'achat d'un outil de décryptage.

BuLock Ransomware est un type de logiciel malveillant, ou malware, qui crypte les fichiers sur l'ordinateur ou le réseau d'une victime, les rendant ainsi inaccessibles. Les attaquants exigent alors une rançon de la victime en échange de la clé de décryptage permettant de déverrouiller les fichiers. Le ransomware est également connu sous le nom de Crypto Virus ou Files Locker en raison de ses capacités de cryptage. BuLock Ransomware ajoute le .bulock16 extension aux fichiers qu’il crypte. Le chiffre de l'extension peut varier en fonction de la variante du ransomware. BuLock Ransomware utilise une combinaison d'algorithmes cryptographiques RSA et AES pour crypter les fichiers. Il s’agit de méthodes de cryptage robustes qui rendent difficile le décryptage des fichiers sans la clé de décryptage spécifique. BuLock Ransomware crée une demande de rançon nommée HOW_TO_BACK_FILES.html. Cette note informe la victime que son réseau a été compromis et ses fichiers cryptés. Il prévient également que les attaquants ont exfiltré du réseau des données confidentielles, qu'ils menacent de vendre ou de divulguer en ligne si la rançon n'est pas payée. La note offre également à la victime la possibilité de tester le décryptage de 2 à 3 fichiers avant de payer la rançon.

Hhaz Ransomware est un type de logiciel malveillant qui crypte les données d'un utilisateur, les rendant inaccessibles. Il s'agit d'une variante associée à la famille des ransomwares Djvu. Le ransomware modifie les noms de fichiers en ajoutant le .hhaz extension et crée un fichier texte nommé _readme.txt qui comprend une demande de rançon. Par exemple, il transforme 1.jpg développement 1.jpg.hhaz, 2.png développement 2.png.hhaz, et ainsi de suite. Le ransomware Hhaz utilise l'algorithme de cryptage Salsa20. Si Hhaz ne parvient pas à établir une connexion à son serveur avant de démarrer le processus de cryptage, il utilise une clé hors ligne. Cette clé est la même pour toutes les victimes, ce qui permettra potentiellement de décrypter les fichiers .hhaz à l'avenir. La demande de rançon garantit à la personne ciblée que ses fichiers verrouillés peuvent être récupérés en acquérant un outil de décryptage et une clé spécifique. Le coût du décryptage des données est fixé à 980 $, avec une réduction de 50 % disponible si les victimes contactent les acteurs malveillants dans un délai de 72 heures. La note souligne l'impossibilité absolue de récupérer les données sans effectuer le paiement stipulé.

Hhuy Ransomware est une variante de la célèbre famille de ransomwares STOP/DJVU. Il crypte les images, documents et autres fichiers importants sur les ordinateurs infectés, les rendant ainsi inaccessibles. Le ransomware demande ensuite une rançon, généralement comprise entre 490 et 980 dollars, payable en Bitcoins, pour décrypter les fichiers. Le ransomware Hhuy cible un large éventail d'extensions de fichiers, notamment .doc, .docx, .xls, .xlsx, .ppt, .pptx, .jpg, .pdf et .psd. Une fois qu'un fichier est crypté, le ransomware ajoute le .hhuy extension du nom du fichier, ce qui rend impossible son ouverture avec n'importe quel programme. Le ransomware Hhuy utilise l'algorithme de cryptage Salsa20. Bien qu’elle ne soit pas la méthode la plus puissante, elle fournit néanmoins un nombre écrasant de clés de déchiffrement possibles, rendant les attaques par force brute pratiquement impossibles avec la technologie informatique actuelle. Une fois le cryptage réussi, le ransomware Hhuy crée une demande de rançon nommée _readme.txt. Cette note contient généralement des instructions sur la manière de payer la rançon, ainsi que les coordonnées des attaquants, généralement sous la forme d'adresses e-mail.

Nbwr Ransomware est un type de malware de cryptage de fichiers appartenant à la famille Djvu. Il s'agit d'un logiciel malveillant qui crypte les données des utilisateurs, les rendant inaccessibles. Le ransomware modifie les noms de fichiers en ajoutant le .nbwr extension et génère un fichier texte (_readme.txt) contenant une demande de rançon. La demande de rançon assure à la victime que ses fichiers cryptés peuvent être restaurés en achetant un outil de décryptage et une clé unique. Le prix du décryptage des données est généralement élevé, avec une réduction de 50 % disponible si les acteurs malveillants sont contactés dans les 72 heures. Le ransomware Nbwr utilise l'algorithme de cryptage Salsa20. Cette méthode fournit une quantité impressionnante de clés de déchiffrement possibles, rendant les attaques par force brute pratiquement impossibles. La demande de rançon assure à la victime que ses fichiers cryptés peuvent être restaurés en achetant un outil de décryptage et une clé unique.

GrafGrafel est un type de ransomware, un logiciel malveillant qui crypte les données et demande une rançon pour leur décryptage. Il fait partie de la famille des ransomwares Phobos. Le ransomware GrafGrafel cible à la fois les fichiers locaux et partagés sur le réseau, sans affecter les fichiers système critiques. Une fois que le ransomware GrafGrafel infecte un ordinateur, il crypte les fichiers et modifie leurs noms de fichiers. Les titres originaux sont accompagnés d'un identifiant unique attribué à la victime, de l'adresse e-mail des cybercriminels et d'un .GrafGrafel extension. Par exemple, un fichier initialement nommé 1.jpg apparaîtrait comme 1.jpg.id[G7RF34WQE-5687].[GrafGrafel@tutanota.com].GrafGrafel suite au cryptage. L'algorithme de cryptage spécifique utilisé par le ransomware GrafGrafel est encore inconnu. Cependant, les ransomwares utilisent généralement des algorithmes de cryptage puissants qui ne peuvent être déverrouillés que par un code de décryptage connu uniquement de l'attaquant. Une fois le processus de cryptage terminé, le ransomware GrafGrafel crée des notes de rançon dans une fenêtre contextuelle (info.hta) et les fichiers texte (info.txt). Ces notes sont déposées dans des répertoires cryptés et sur le bureau.