Ransomware

Water Ransomware est un type de crypto-virus, un logiciel malveillant conçu pour crypter les fichiers sur l'ordinateur d'une victime et exiger une rançon pour leur décryptage. Il appartient à Phobos famille de rançongiciels. Cette cybermenace est particulièrement insidieuse car elle restreint non seulement l'accès à des données importantes, mais comporte également un risque de perte permanente de données et de contraintes financières. Une fois qu'un ordinateur est infecté, Water Ransomware crypte les fichiers de l'utilisateur avec un algorithme de cryptage sophistiqué et renomme les fichiers en ajoutant une extension unique. Le nouveau nom de fichier comprend l'identifiant de la victime, l'adresse e-mail de l'attaquant et le .water extension, marquant efficacement les fichiers comme inaccessibles. Par exemple le fichier 1.txt sera changé en 1.txt.id[random-ID].[aquaman@rambler.ua].water. Le ransomware génère une demande de rançon, qui se trouve généralement dans des fichiers nommés info.hta ainsi que info.txt. Cette note explique aux victimes comment contacter les attaquants pour payer la rançon. Il met en garde contre les tentatives d'auto-décryptage ou l'utilisation de logiciels tiers, avertissant que de telles actions pourraient entraîner une perte irréversible de données. La note déconseille également de demander l’aide de sociétés intermédiaires, ce qui pourrait conduire à une augmentation des rançons ou à des stratagèmes frauduleux.

Looy Ransomware est un logiciel malveillant qui appartient à la famille des ransomwares STOP/DJVU, connu pour cibler aussi bien les utilisateurs individuels que les entreprises. Il est conçu pour crypter les fichiers sur l'ordinateur infecté, les rendant inaccessibles à l'utilisateur, puis exige le paiement d'une rançon en échange de la clé de décryptage. Lors du cryptage des fichiers, Looy Ransomware ajoute le .looy extension aux noms de fichiers, ce qui est un indicateur clair de l’infection. Looy Ransomware utilise un algorithme de cryptage robuste pour verrouiller les fichiers. Bien que le type spécifique de cryptage ne soit pas détaillé dans les sources fournies, il est courant que les ransomwares comme Looy utilisent AES (Advanced Encryption Standard) ou une méthode sécurisée similaire pour crypter les fichiers. Après le cryptage, Looy Ransomware crée une demande de rançon nommée _readme.txt et le place sur le bureau ou dans des dossiers contenant des fichiers cryptés. Cette note contient des instructions destinées à la victime sur la manière de contacter les attaquants et de payer la rançon pour potentiellement recevoir la clé de déchiffrement.

Vook Ransomware est un logiciel malveillant appartenant à la famille des ransomwares STOP/Djvu, connu pour son impact étendu sur les données personnelles et organisationnelles. Cette variante du ransomware crypte les fichiers sur les systèmes infectés, les rendant inaccessibles aux utilisateurs, et exige une rançon pour le décryptage. Une fois que Vook Ransomware infecte un ordinateur, il utilise l'algorithme de cryptage Salsa20 pour verrouiller les fichiers, en ajoutant le .vook extension à chaque fichier crypté. Cela rend les fichiers inaccessibles et facilement identifiables comme étant cryptés par cette souche particulière de ransomware. Suite au processus de cryptage, Vook Ransomware génère une demande de rançon nommée _readme.txt et le place dans des dossiers contenant des fichiers cryptés. Cette note contient des instructions destinées aux victimes sur la manière de contacter les attaquants par courrier électronique et sur le montant de la rançon, généralement demandée en crypto-monnaies. La note peut également proposer le décryptage gratuit d'un seul fichier comme « garantie » que les attaquants peuvent décrypter les fichiers après paiement.

Rocklee Ransomware est une variante de la famille de ransomwares Makop qui cible les ordinateurs pour crypter les données et exiger une rançon pour la clé de déchiffrement. Lors de l'infection, Rocklee Ransomware crypte les fichiers et modifie leurs noms de fichiers en ajoutant l'identifiant de la victime, l'adresse e-mail de l'attaquant et le .rocklee extension. Par exemple, un fichier nommé 1.jpg serait renommé en 1.jpg.[random-ID].[cyberrestore2024@onionmail.org].rocklee. L'algorithme de cryptage spécifique utilisé par Rocklee Ransomware n'est pas détaillé dans les sources fournies. Cependant, les ransomwares de cette nature utilisent généralement des algorithmes de chiffrement puissants, difficiles à déchiffrer sans la clé de déchiffrement unique détenue par les attaquants. Rocklee Ransomware laisse tomber une demande de rançon nommée +README-WARNING+.txt dans les répertoires contenant des fichiers cryptés. Cette note informe les victimes que leurs fichiers ont été cryptés et fournit des instructions sur la manière de payer la rançon pour récupérer les fichiers. Il comprend également les coordonnées des attaquants et met en garde contre toute tentative de décryptage de fichiers sans la clé appropriée, car cela pourrait entraîner des dommages supplémentaires.

Kool Ransomware est un type de logiciel malveillant qui appartient à la catégorie plus large des ransomwares. Il est conçu pour infiltrer l'ordinateur d'un utilisateur, crypter des fichiers et exiger une rançon pour la clé de déchiffrement. Kool Ransomware fait partie de la famille de ransomwares STOP/Djvu, connue pour cibler les utilisateurs Windows et crypter des fichiers avec diverses extensions. Une fois que Kool Ransomware a infecté un ordinateur, il crypte les fichiers et ajoute une extension de fichier spécifique aux fichiers cryptés, qui est .kool dans ce cas. Le cryptage utilisé par Kool Ransomware est généralement un algorithme symétrique ou asymétrique qui rend les fichiers inaccessibles sans la clé de décryptage unique. Après avoir crypté les fichiers, Kool Ransomware génère une demande de rançon, généralement nommée _readme.txt ou similaire, et le place dans des dossiers contenant les fichiers cryptés. Cette note contient des instructions destinées à la victime sur la manière de payer la rançon et comprend souvent un délai et des avertissements sur les conséquences du non-respect. Dans cet article, nous montrons comment supprimer Kool Ransomware et décrypter les fichiers .kool gratuitement sous Windows 11, 10, 8, 7.

Proton Ransomware est un logiciel malveillant conçu pour crypter les fichiers sur l'ordinateur d'une victime, les rendant ainsi inaccessibles jusqu'au paiement d'une rançon. Proton Ransomware est un type de malware qui crypte les fichiers sur l'ordinateur infecté, en ajoutant des extensions spécifiques aux noms de fichiers et en exigeant une rançon de la victime pour restaurer l'accès aux fichiers cryptés. Il a été découvert sous diverses formes, avec quelques variantes ajoutant des extensions telles que .c77l, .ZENEX or .SWIFT extensions aux fichiers concernés ainsi que les e-mails (.[decrypt.computer@gmail.com].c77L, [decrypthelp0@gmail.com].ZENEX, .[swift_1@tutamail.com].SWIFT). Fondamentalement, SWIFT Ransomware et ZENEX Ransomware ne sont que des variantes de Proton Ransomware. Ces variantes créent les fichiers de demande de rançon suivants : #Zenex-Help.txt, #SWIFT-Help.txt or #Restore-files.txt. Le ransomware utilise les algorithmes AES (Advanced Encryption Standard) et ECC (Elliptic Curve Cryptography) pour crypter les fichiers, garantissant que le cryptage est suffisamment fort pour empêcher un décryptage non autorisé sans la clé unique détenue par les attaquants. Cet article vise à fournir un aperçu complet de Proton Ransomware, y compris ses méthodes d'infection, les extensions de fichiers qu'il ajoute, les algorithmes de cryptage qu'il utilise, la demande de rançon qu'il crée et les possibilités de décryptage.

LockBit 3.0, également connu sous le nom de LockBit Black, est une souche de ransomware sophistiquée qui crypte les données sur les systèmes ciblés, perturbant ainsi l'accès aux ressources du système et du réseau. Il fait partie d'une opération Ransomware-as-a-Service (RaaS), ce qui signifie qu'il est utilisé par des sociétés affiliées qui le déploient dans des cyberattaques en échange d'une part des bénéfices de la rançon. LockBit 3.0 est connu pour ses capacités de cryptage rapides et est actif depuis au moins mars 2022. Pendant le processus de cryptage, LockBit 3.0 ajoute une extension spécifique aux fichiers cryptés. Cette extension peut varier, mais les exemples incluent « HLJkNskOq » et « 19MqZqZ0s ». Le ransomware modifie les icônes des fichiers cryptés et modifie le fond d'écran du bureau pour informer les victimes de l'attaque. LockBit 3.0 supprime une demande de rançon, généralement nommée [random_string].README.txt ou un fichier texte similaire, dans chaque dossier crypté. La note contient des instructions pour contacter les attaquants et payer la rançon, exigeant souvent un paiement en cryptomonnaie.

RansomHub Ransomware est un type de logiciel malveillant qui entre dans la catégorie des virus de cryptage de fichiers. Il est conçu pour infiltrer les systèmes informatiques, crypter des fichiers et exiger une rançon pour la clé de déchiffrement. Contrairement aux ransomwares traditionnels, qui cryptent les fichiers et exigent un paiement, RansomHouse, associé à RansomHub, se concentre sur la violation des réseaux via des vulnérabilités pour voler des données et contraindre les victimes à payer sans nécessairement utiliser le cryptage. Le ransomware RansomHub peut ajouter diverses extensions de fichiers aux fichiers cryptés, telles que .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky ou une extension de longueur 6-7 composée de caractères aléatoires. Les algorithmes de chiffrement spécifiques utilisés par RansomHub ne sont pas détaillés, mais les ransomwares utilisent généralement des méthodes de chiffrement fortes comme AES ou RSA pour empêcher tout décryptage non autorisé. RansomHub crée des notes de rançon avec des instructions pour les victimes sur la façon de payer la rançon et potentiellement de récupérer leurs fichiers. Les noms courants des fichiers de demande de rançon incluent README_{chaîne-random}.txt, et divers autres. L'emplacement de la demande de rançon se trouve généralement dans les répertoires de fichiers cryptés.