Ransomware

DVN est une infection rançongiciel qui exécute un cryptage fort pour prendre en otage des fichiers potentiellement importants jusqu'à ce qu'une rançon soit payée. En plus du cryptage, le virus attribue également le .devinn extension pour mettre en évidence les données bloquées ; change les fonds d'écran du bureau ; et créer le unlock_here.txt note de texte avec des instructions de récupération. Les cybercriminels disent qu'ils ne fourniront le logiciel de décryptage nécessaire que si les victimes paient 0.0077 BTC (environ 200 $). Il est indiqué que le paiement ne peut être effectué qu'en Bitcoin et à l'adresse crypto jointe. Contrairement à de nombreuses autres infections de ransomwares, les développeurs derrière DVN Ransomware n'incluent aucun moyen de communication avec eux (par exemple, e-mail, divers messagers, etc.). Ainsi, il est très difficile de savoir comment les victimes communiqueront avec les attaquants afin de recevoir l'outil de décryptage promis après avoir effectué le paiement. Payer la rançon est fortement déconseillé car il y a un risque de ne rien obtenir en retour. Malheureusement, force est de constater que les cybercriminels sont généralement les seules personnes réellement capables de déchiffrer entièrement l'accès aux données.

Fofd Rançongiciel (version de STOP Ransomware or DjVu Ransomware) est un virus de cryptage répandu à haut risque, qui est apparu pour la première fois il y a près de 5 ans. Il a connu plusieurs changements visuels et techniques au fil du temps. Dans ce tutoriel, nous analyserons les versions récentes de ce malware dangereux. À la toute fin avril 2023, STOP Ransomware a commencé à ajouter les extensions suivantes aux fichiers cryptés : .fofd. C'est à cause de cela qu'il a reçu le nom de "Fofd Ransomware" bien qu'il ne s'agisse que d'une des variétés de crypto-virus STOP. Le virus modifie également le fichier "hosts" pour bloquer les mises à jour Windows, les programmes antivirus et les sites liés à l'actualité de la sécurité ou proposant des solutions de sécurité. Le processus d'infection ressemble également à l'installation de mises à jour Windows, les logiciels malveillants affichent la fausse fenêtre, qui imite le processus de mise à jour. Un nouveau sous-type de STOP Ransomware utilise les mêmes adresses e-mail, comme peu de générations précédentes : support@freshmail.top et datarestorehelp@airmail.cc. Fofd Ransomware crée _readme.txt fichier de note de rançon.

WannaCry (ou Wcry, Wana Décrypter0r 2.0, WanaDécrypteuret Virus WNCRY) est une infection ransomware qui crypte les fichiers personnels à l'aide des algorithmes AES-128 et demande aux victimes de payer pour le décryptage. Le virus a été découvert par un chercheur en sécurité S!Ri et il existe quelques variantes connues de WannaCry. Selon la variante qui a attaqué le système, les fichiers affectés par le cryptage seront modifiés à l'aide de la .wcry, .wncryou WNCRYT (pour les fichiers .bmp cryptés). Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.wcry ou similaire selon la version du rançongiciel. Suite à cela, le virus affiche les instructions de décryptage dans une fenêtre pop-up à ouverture forcée. L'une des variantes modifie également les fonds d'écran du bureau. Le Wana Décrypter0r 2.0 variante crée également une note distincte exigeant une rançon appelée @ Please_Read_Me @ .txt.

Si vos fichiers ont récemment .foty extensions, cela signifie que votre PC est infecté par un virus de cryptage appelé Foty Ransomware (partie de STOP Ransomware or Djvu Ransomware famille, appelée ainsi parce que les premières versions du virus de ce type apposées .djvu extension). Il s'agit d'un logiciel malveillant très répandu et activement distribué. Ransomware utilisait initialement l'algorithme de chiffrement AES-256, et il n'y avait aucun moyen de déchiffrement. Cependant, si pendant le processus de cryptage, le PC infecté était hors d'Internet, ou si la connexion avec un serveur distant de pirates a été interrompue, vos fichiers peuvent être décryptés, en utilisant les méthodes fournies ci-dessous. STOP Ransomware a une note de rançon appelée _readme.txt. Dans ce fichier texte, les malfaiteurs donnent des informations de contact et des détails sur la façon d'effectuer un paiement. Le virus le copie sur le bureau et dans les dossiers contenant des fichiers cryptés. Les pirates fournissent les contacts et e-mails suivants: support@freshmail.top et datarestorehelp@airmail.cc.

Foza Ransomware est un virus de cryptage dévastateur de la série des STOP Ransomware (Djvu Ransomware). Foza Ransomware est une variante de la famille STOP/Djvu Ransomware, qui est connue pour utiliser une combinaison de deux algorithmes de chiffrement : RSA et AES. RSA est utilisé pour chiffrer la clé AES symétrique générée pour chaque fichier. Cela signifie que chaque fichier possède sa propre clé AES unique, qui est utilisée pour chiffrer et déchiffrer le contenu du fichier. La paire de clés RSA est générée par le ransomware sur l'ordinateur de la victime et la clé publique est envoyée au serveur de l'attaquant, qui est ensuite utilisé pour chiffrer la clé AES symétrique. Il tire son nom de .foza extension, que le rançongiciel ajoute à la fin des fichiers cryptés. D'un point de vue technique, le virus reste le même que les versions précédentes. La seule chose qui a changé au cours des deux dernières années, ce sont les coordonnées des malfaiteurs.

Kafan est un nouveau virus rançongiciel qui infecte les utilisateurs de Windows afin de crypter les données personnelles et d'extorquer de l'argent aux victimes pour leur décryptage. Une fois installé, le ransomware effectuera une analyse rapide des données stockées et lancera le processus de cryptage à l'aide d'algorithmes cryptographiques puissants. En outre, le logiciel malveillant attribuera également ses propres .kafan extension pour distinguer les fichiers verrouillés. Par exemple, un fichier initialement nommé 1.pdf va changer pour 1.pdf.kafan et ne deviennent plus accessibles. Enfin, le crypteur de fichiers génère une note de rançon appelée help_you.txt avec des instructions sur la façon de retourner les données. Le message de rançon oblige les victimes à envoyer un message électronique aux cybercriminels (PYTHONHAVENONAME@163.COM) et à payer pour le décryptage. Lors de l'envoi du message, les victimes sont également invitées à écrire leur identifiant dans le titre/sujet du message. On dit que le prix du décryptage dépend de la rapidité avec laquelle les victimes établissent la communication avec les attaquants. Les cybercriminels utilisent de telles techniques de manipulation pour exercer une pression supplémentaire sur les victimes et potentiellement les forcer à accepter de payer la rançon.

Recov est une nouvelle variante de ransomware de la famille VoidCrypt. Après avoir infiltré un système, il exécute le cryptage des données (pour empêcher les victimes d'accéder aux fichiers) et dit aux victimes de payer pour un kit de logiciel de décryptage + clé RSA pour déverrouiller les fichiers. Des instructions sur la façon de le faire sont présentées à l'intérieur du Dectryption-guide.txt note de rançon. Une autre chose que fait ce ransomware est d'attribuer des modifications visuelles aux fichiers cryptés - une chaîne de caractères composée de l'identifiant de la victime, de l'adresse e-mail des cybercriminels et du .Recov extension sera ajoutée aux noms de fichiers. Par exemple, un fichier initialement nommé 1.pdf sera changé en 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov ou similaire. Les cybercriminels exigent que les victimes établissent un contact avec eux par e-mail (Recoverifiles@gmail.com ou Recoverifiles@protonmail.com en cas de non-réponse). Bien que les besoins des extorqueurs ne soient pas clairs, il est probable qu'ils obligeront leurs victimes à payer une certaine redevance pour un outil de décryptage et une clé RSA qui ne sont disponibles que pour les développeurs.

Kadavro Vector est un programme de ransomware orienté vers les utilisateurs anglophones, russes et norvégiens. Le but de ce virus est de crypter des données potentiellement importantes et d'extorquer de l'argent aux victimes pour leur décryptage. Tout en rendant les fichiers inaccessibles, le logiciel malveillant ajoute également le .vector_ extension aux fichiers ciblés. Par exemple, un fichier initialement nommé 1.pdf connaîtra un changement pour 1.pdf.vector_ et réinitialiser son icône d'origine. Très peu de temps après un cryptage réussi, Kadavro Vector force l'ouverture de sa fenêtre contextuelle contenant les directives de décryptage. De plus, les fonds d'écran sont également modifiés. La note de rançon demande aux victimes de ne pas éteindre Internet et leur ordinateur car cela pourrait autrement endommager les données cryptées. Pour restituer les données, les victimes doivent acheter la crypto-monnaie Monero (XMR) d'une valeur de 250 $ et l'envoyer à l'adresse crypto des cybercriminels. De plus, il y a aussi une minuterie indiquant combien de temps les utilisateurs doivent payer pour le décryptage. Si les victimes ne parviennent pas à le faire dans le délai imparti, il est dit que tous les fichiers seront supprimés à l'aide d'algorithmes de pointe, les rendant définitivement irrécupérables à l'avenir. Ce faisant, les pirates essaient d'exercer une pression supplémentaire sur les victimes et les obligent ainsi à répondre aux demandes de décryptage.