Ransomware

CRFILE Ransomware est un logiciel malveillant appartenant à la famille MedusaLocker, conçu pour chiffrer les fichiers sur l'ordinateur d'une victime et exiger une rançon pour leur déchiffrement. Une fois le rançongiciel infecté, il ajoute une clé de chiffrement distinctive. .CRFILE2 extension .NET aux fichiers chiffrés, les bloquant ainsi efficacement. Le processus de chiffrement utilise une combinaison d'algorithmes RSA et AES, reconnus pour leur complexité et leur efficacité à protéger les données contre tout déchiffrement non autorisé. Une fois le chiffrement réussi, le rançongiciel CRFILE génère une demande de rançon, généralement intitulée READ_NOTE.html, qui sont placés dans des répertoires accessibles sur le système compromis. Cette note met en garde les victimes contre toute tentative de récupération par des solutions tierces et insiste sur le fait que seuls les attaquants possèdent les clés de déchiffrement nécessaires pour déverrouiller les fichiers.

Se7en Ransomware est un programme malveillant appartenant à la famille de rançongiciels Babuk. Il accède à ses cibles par diverses tactiques trompeuses, notamment par des pièces jointes infectées, des logiciels piratés et des publicités malveillantes. Une fois à l'intérieur d'un système, il lance le processus de chiffrement en convertissant les fichiers dans des formats inaccessibles, perturbant ainsi l'accès habituel aux données. Les fichiers affectés par ce rançongiciel sont signalés par un .se7en extension, transformant les noms de fichiers tels que 1.jpg développement 1.jpg.se7en, indiquant clairement quelles données ont été compromises. Cette méthode de chiffrement rend les fichiers inutilisables sans la clé de déchiffrement correcte, que les attaquants prétendent détenir. Une fois le chiffrement terminé, le rançongiciel génère un How To Restore Your Files.txt demande de rançon sur les appareils compromis, généralement placée dans des répertoires visibles pour que les victimes la remarquent rapidement. Cette demande sert non seulement d'avertissement, mais aussi d'instructions, affirmant que le chiffrement ne peut être annulé qu'en se procurant un outil de déchiffrement auprès des attaquants, impliquant souvent une transaction financière effectuée via des plateformes anonymes comme Bitcoin.

Numec Ransomware est un logiciel malveillant conçu pour chiffrer les fichiers sur l'ordinateur d'une victime, l'empêchant ainsi d'accéder à ses propres données. Il ajoute .numec aux noms de fichiers chiffrés, transformant un document auparavant accessible en un format inutilisable nécessitant un déchiffrement pour être ouvert à nouveau. Ce rançongiciel utilise des algorithmes de chiffrement sophistiqués qui rendent le déchiffrement des fichiers quasiment impossible sans la clé de déchiffrement spécifique dont disposent les attaquants. Une fois chiffrés, les fichiers sont généralement stockés dans un dossier nommé «EncryptedFiles» sur le bureau de la victime. De plus, une demande de rançon, située sous le nom de fichier, est envoyée. GetFilesBack.txt, est déposé sur le système, fournissant des instructions sur la manière de récupérer potentiellement l'accès aux fichiers verrouillés. Malheureusement, déchiffrer ces fichiers est un défi ; aucun outil de déchiffrement accessible au public ne peut gérer cette variante particulière du rançongiciel. Les victimes sont donc confrontées au dilemme de recourir à des méthodes potentiellement dangereuses pour récupérer leurs fichiers.

Crone Ransomware est un programme malveillant qui chiffre les fichiers sur les ordinateurs infectés, les rendant inaccessibles aux utilisateurs. Après avoir chiffré les fichiers, il ajoute le .crone extension à leur nom d'origine, ce qui les rend facilement identifiables comme chiffrés. Par exemple, un fichier nommé document.pdf deviendrait document.pdf.crone. Ce rançongiciel utilise des algorithmes cryptographiques robustes, rendant la récupération de fichiers quasiment impossible sans l'intervention des attaquants. Une fois le processus de chiffrement terminé, le rançongiciel envoie une demande de rançon intitulée How To Restore Your Files.txt. La note se trouve généralement dans divers dossiers contenant des fichiers chiffrés et fournit des instructions, souvent en anglais et en russe, sur la manière de payer la rançon pour obtenir un outil de déchiffrement. Les victimes sont généralement invitées à payer en Bitcoins à une adresse de portefeuille spécifiée, soulignant ainsi le caractère anonyme de ces transactions. Il est important de noter que le paiement de la rançon ne garantit pas la récupération des fichiers, car de nombreux cybercriminels ne fournissent pas l'outil de déchiffrement promis.

Warning Ransomware, membre de la célèbre famille GlobeImposter, est un logiciel malveillant qui crypte les fichiers des systèmes infectés et les retient en otage jusqu'au paiement d'une rançon. Ce rançongiciel ajoute le .warning!_16 à chaque fichier chiffré, signe révélateur de cette variante spécifique du malware. Il utilise des algorithmes de chiffrement RSA et AES robustes pour verrouiller les fichiers de la victime, les rendant inaccessibles sans la clé de déchiffrement détenue par les attaquants. Après le chiffrement, le rançongiciel génère une demande de rançon intitulée HOW_TO_BACK_FILES.html dans chaque répertoire affecté. Cette note informe la victime que ses fichiers sont chiffrés et la met en garde contre l'utilisation de solutions de récupération tierces, car elles pourraient endommager ses fichiers de manière irréversible. Elle lui indique également comment contacter les attaquants (par e-mail ou via un lien de chat Tor) pour négocier le paiement de la rançon, avec un avertissement alarmant : la rançon sera augmentée si elle ne prend pas contact dans les 72 heures.

CryptData Ransomware est une souche de malware notoire, connue pour sa capacité à chiffrer les fichiers de ses victimes, les rendant inaccessibles, puis à exiger une rançon pour leur libération. Ce logiciel malveillant fait partie de la famille MedusaLocker, qui utilise des techniques sophistiquées de chiffrement de fichiers. Lorsqu'il s'infiltre dans un système, il chiffre méthodiquement un large éventail de fichiers et ajoute l'extension .cryptdata extension à chaque fichier affecté, en modifiant les noms de fichiers tels que document.txt développement document.txt.cryptdata. Cela ajoute une complexité supplémentaire pour la victime, car il devient impossible d'accéder à ces fichiers sans la clé de déchiffrement correcte. Le rançongiciel CryptData utilise une combinaison d'algorithmes de chiffrement RSA et AES, extrêmement difficiles à déchiffrer sans la clé de déchiffrement généralement détenue par les attaquants. Les intrusions sont accompagnées d'une demande de rançon, généralement appelée «demande de rançon». RETURN_DATA.html, placé bien en évidence sur le bureau de l'appareil compromis.

PowerLocker Ransomware est un logiciel malveillant conçu pour chiffrer les fichiers de la victime, les rendant inaccessibles jusqu'au paiement d'une rançon. Ce type de logiciel malveillant ajoute une extension de fichier spécifique, dans ce cas précis: .PowerLocker, à chaque fichier affecté, en les renommant efficacement d'une manière qui signale leur statut compromis, par exemple en tournant example.doc développement example.doc.PowerLocker. Grâce au chiffrement AES-256, un algorithme cryptographique robuste et sécurisé, PowerLocker garantit que ces fichiers ne peuvent être facilement déchiffrés sans les clés de déchiffrement spécifiques que détiennent les attaquants. Une fois les fichiers chiffrés, les victimes recevront une demande de rançon au format texte. IMPORTANT.txt, affichés bien en vue sur leur bureau. La demande de rançon demande généralement aux victimes de contacter les attaquants, souvent via une adresse e-mail fournie, afin de négocier le paiement de l'outil de déchiffrement qui, théoriquement, restaure l'accès aux fichiers.

Pres Ransomware est un programme malveillant appartenant à la famille Dharma, connu pour ses capacités de chiffrement de fichiers. Une fois infiltré dans un système, il cible un large éventail de types de fichiers, les rendant inaccessibles aux utilisateurs. Il y parvient en chiffrant les données et en y ajoutant l'extension .pres extension aux fichiers compromis. Par exemple, un fichier nommé document.docx serait modifié pour document.docx.id-[unique_ID].[contact_email].pres. Cette méthode méticuleuse de renommage des fichiers est conçue pour distinguer les fichiers nouvellement chiffrés de leur état d'origine. Le rançongiciel utilise des algorithmes de chiffrement robustes, courants dans de nombreuses souches de rançongiciels de haut niveau, qui rendent les données inaccessibles sans la clé de déchiffrement spécifique, généralement conservée par les cybercriminels. La présence et la nature du chiffrement utilisé rendent le déchiffrement des fichiers quasiment impossible par des moyens simples, nécessitant soit l'intervention des attaquants, soit l'utilisation d'outils de déchiffrement spécialisés. Violant davantage l'espace numérique de la victime, Pres Ransomware génère une demande de rançon, généralement sous la forme d'une fenêtre contextuelle et d'un fichier texte nommé info.txt.