Ransomware

Weon Rançongiciel est l'une des dernières versions développées par le STOP (Djvu) famille. Il a été repéré pour la première fois fin mai 2023. Ce rançongiciel cible différents types de données personnelles (par exemple, des images, des vidéos, des documents, etc.) à l'aide de clés en ligne générées aléatoirement pour chaque victime. Une fois qu'ils sont appliqués et que les données sont cryptées, les utilisateurs ne peuvent plus y accéder ni interagir avec. Pendant le processus de cryptage, tous les fichiers sont affectés avec .weon extension. Cela signifie que les fichiers changeront de nom et réinitialiseront leurs icônes. Par exemple, un fichier comme 1.pdf sera changé en 1.pdf.weon et perd son icône initiale à la fin du cryptage. Ensuite, tout comme les autres versions récentes de la famille STOP (Djvu), Weon crée une note de texte appelée _readme.txt qui contient des instructions de décryptage. Peu importe celui qui a été déposé sur votre PC, tous affichent les mêmes informations.

Jigsaw Ransomware est une famille de ransomware largement répandue. Le ransomware est conçu pour crypter les fichiers sur l'ordinateur d'une victime, les rendant inaccessibles, puis exige le paiement d'une rançon en échange de la clé de décryptage nécessaire pour restaurer les fichiers. Jigsaw Ransomware a attiré l'attention en avril 2016 lorsqu'il a été découvert pour la première fois. Il a été nommé d'après le personnage emblématique du film "Saw" en raison de son utilisation d'une image du personnage comme logo. Jigsaw Ransomware cible les systèmes Windows et se propage par diverses méthodes telles que les pièces jointes malveillantes, les téléchargements infectés ou les kits d'exploitation. Une fois qu'un ordinateur est infecté par Jigsaw Ransomware, il commence à chiffrer les fichiers sur le système, y compris les documents, les images, les vidéos et d'autres données importantes. Il affiche ensuite une note de rançon sur l'écran de la victime, exigeant un paiement, généralement en Bitcoin, dans un délai spécifié. Si la victime ne paie pas la rançon dans le délai imparti, Jigsaw Ransomware menace de supprimer une partie des fichiers cryptés en guise de punition. Il affiche également un compte à rebours, ajoutant un élément psychologique d'urgence.

Alphaware Rançongiciel, un logiciel malveillant, utilise une combinaison sophistiquée d'algorithmes pour crypter les précieuses données de ses victimes. Après avoir réussi à chiffrer les fichiers, ce ransomware révèle son nom d'origine, Alphaware, dans une note, tandis que le fichier associé lui-même est étiqueté comme Alphaware.exe. Les auteurs de cette menace insidieuse s'identifient comme le groupe de hackers Alpha. Leur modus operandi consiste à exiger une rançon de 300 $ en BTC (Bitcoin) en échange de la clé de déchiffrement, nécessaire pour restaurer les fichiers compromis dans leur état d'origine. Alphaware Ransomware, qui est apparu pour la première fois vers la mi-mai 2023, est principalement destiné aux utilisateurs anglophones, mais a le potentiel d'infecter les systèmes du monde entier. Les fichiers infectés subissent une transformation de leurs conventions de nommage ou d'encodage, accompagnée de l'ajout du .Alphaware extension. La demande de rançon est délivrée via un fichier nommé readme.txt.

Nouvelle génération de STOP Ransomware (Djvu Ransomware) a commencé à ajouter .vatq extensions aux fichiers cryptés depuis fin mai 2023. Nous vous rappelons que Vatq Ransomware appartient à une famille de crypto-virus, qui extorquent de l'argent en échange du décryptage des données. Les derniers exemples de STOP Ransomware sont parfois classés comme Djvu Ransomware, car ils utilisent des modèles presque identiques de notes de rançon depuis le début de 2019, lorsque .djvu extensions ont été ajoutées. Vatq Ransomware utilise les mêmes adresses e-mail, utilisées dans les dernières dizaines de versions : support@freshmail.top ainsi que datarestorehelp@airmail.cc. Le décryptage complet n'est possible que dans 1 à 2 % des cas lorsque la clé de cryptage hors ligne a été utilisée (au moyen de STOP Djvu Decryptor). Dans les autres cas, utilisez les instructions et les outils proposés dans cet article. Vatq Ransomware crée _readme.txt fichier de note de rançon, qui ressemble presque au même.

FAST Ransomware est un type de logiciel malveillant que notre équipe de recherche a récemment découvert lors d'une enquête sur les soumissions sur le site Web de VirusTotal. Ce programme malveillant particulier est classé comme rançongiciel, ce qui signifie qu'il est conçu pour crypter les données sur l'ordinateur d'une victime et exiger une rançon en échange de son décryptage. Lorsque nous avons testé le ransomware sur notre propre machine, nous avons observé qu'il cryptait les fichiers et modifiait leurs noms de fichiers. Les titres de fichiers d'origine ont été modifiés en ajoutant l'adresse e-mail des cybercriminels, un identifiant de victime unique et le .FAST extension. Par exemple, un fichier nommé sample.pdf apparaîtrait comme sample.pdf.EMAIL=[fastdec@tutanota.com]ID=[RANDOM].FAST après cryptage. Après avoir terminé le processus de cryptage, FAST ransomware a déposé une note de rançon intitulée #FILEENCRYPTED.txt sur le bureau de la victime.

EXISC est une forme de malware connue sous le nom de ransomware qui a attiré notre attention lors de notre enquête. Son objectif principal est de chiffrer les données et d'exiger un paiement en échange de la clé de déchiffrement. Lors de l'exécution d'un échantillon de ce ransomware sur notre système de test, nous avons observé qu'il cryptait les fichiers et ajoutait le .EXISC extension à leurs noms de fichiers d'origine. Par exemple, un fichier nommé sample.pdf apparaîtrait comme sample.pdf.EXISC. Le ransomware a également créé une note de rançon intitulée Please Contact Us To Restore.txt. Sur la base du message contenu dans la note, il est devenu évident qu'EXISC cible principalement les grandes organisations plutôt que les particuliers. Les victimes ne reçoivent souvent pas les clés ou logiciels de décryptage promis, même après s'être conformées aux demandes de rançon. Par conséquent, nous déconseillons fortement de payer la rançon, car cela ne garantit pas la récupération des données et ne fait que perpétuer les activités criminelles.

Vaze Ransomware (aka STOP Ransomware or Djvu Ransomware) est un extorqueur de virus très répandu dans le cryptage de fichiers. C'est l'un des ransomwares les plus dangereux avec un effet dommageable et un taux de prévalence élevés. Il utilise l'algorithme de cryptage AES-256 en mode CFB avec zéro IV et une seule clé de 32 octets pour tous les fichiers. Un maximum de 0x500000 octets (~ 5 Mo) de données au début de chaque fichier est crypté. Le virus ajoute .vaze extensions aux fichiers encodés. L'infection affecte des fichiers importants et précieux. Il s'agit de documents MS Office, OpenOffice, PDF, fichiers texte, bases de données, photos, musique, vidéo, fichiers image, archives, fichiers d'application, etc. Djvu Ransomware ne crypte pas les fichiers système, pour s'assurer que Windows fonctionne correctement et que les utilisateurs peuvent naviguer sur Internet, visiter la page de paiement et payer la rançon. Vaze Ransomware crée _readme.txt fichier, qui est appelé «note de rançon» et il contient des instructions pour effectuer le paiement et les coordonnées. Le virus le place sur le bureau et dans les dossiers contenant des fichiers cryptés. Les développeurs proposent les coordonnées suivantes : support@freshmail.top ainsi que datarestorehelp@airmail.cc.

Virus désastreux connu sous le nom de STOP Ransomware, en particulier, sa dernière variation Vapo Ransomware ne se relâche pas et continue son activité malveillante même pendant le pic de la pandémie de coronavirus humain. Les pirates publient de nouvelles variantes tous les 3-4 jours, et il est encore difficile de prévenir l'infection et de s'en remettre. Les versions récentes ont des extensions modifiées, qui sont ajoutées à la fin des fichiers concernés, maintenant elles sont: .vapo. Bien qu'il existe des outils de décryptage d'Emsisoft disponibles pour les versions précédentes, les plus récents sont généralement non décryptables. Les processus de pénétration, d'infection et de cryptage restent les mêmes : les campagnes de publicité malveillante, les téléchargements peer-to-peer, l'inattention de l'utilisateur et le manque de protection décente entraînent une grave perte de données après le cryptage à l'aide d'algorithmes AES-256 puissants. Après avoir terminé son activité dévastatrice, Vapo Ransomware laisse le fichier texte - une note de rançon, appelée _readme.txt, dont nous pouvons apprendre que le déchiffrement coûte de 490$ à 980$, et il est impossible sans une certaine clé de déchiffrement.