Ransomware

Coty Rançongiciel fait partie d'un grand famille du STOP/Djvu Ransomware. Il tire son nom du fait que les versions originales du logiciel malveillant ajoutaient le .stop (plus tard .djvu) et les a chiffrés avec une combinaison de cryptographie AES et RSA pour rendre les fichiers inaccessibles sur l'ordinateur Windows infecté. Coty Ransomware selon son nom ajoute .coty extension. Cette version est apparue fin avril 2023. Une fois que le rançongiciel Coty/STOP a terminé la procédure de cryptage, le virus crée une note de rançon pour _readme.txt dossier. Le message des escrocs indique que les victimes doivent payer la rançon dans les 72 heures. Les auteurs du virus STOP demandent 490 $ pendant les trois premiers jours et 980 $ après cette période. Pour fournir une confirmation, les pirates autorisent l'envoi de 1 à 3 fichiers "pas très volumineux" pour décryptage gratuit à support@freshmail.top or datarestorehelp@airmail.cc pour un test.

Cooper est un virus rançongiciel qui infecte les systèmes pour chiffrer des fichiers potentiellement importants et demande de l'argent pour leur déchiffrement. En plus d'exécuter un cryptage sécurisé, il attribue également le .cooper extension aux fichiers concernés. Par exemple, un fichier initialement nommé 1.pdf va changer pour 1.pdf.cooper et perdre son icône d'origine. Après cette modification, les fichiers ne seront plus utilisables, même si vous supprimez l'extension ajoutée. Pour inverser ces modifications, des instructions de déchiffrement sont présentées dans le Cooper_Recover.txt déposer. Les cybercriminels exhortent les victimes à les contacter par e-mail et à payer pour un logiciel de décryptage unique. Les acteurs de la menace sont les seuls à y avoir accès, et il est dit qu'aucun autre outil n'est en mesure de fournir le déchiffrement des fichiers .cooper chiffrés. Lors de la prise de contact, les victimes sont également invitées à inclure l'ID dans la ligne d'objet d'un message électronique. Malheureusement, à moins que vous ne disposiez d'une sauvegarde disponible pouvant être utilisée pour récupérer des copies de fichiers cryptés, payer la rançon aux cyber-escrocs pourrait être le seul moyen de restituer vos fichiers. Plusieurs infections de rançongiciels utilisent des algorithmes de cryptage puissants et génèrent des clés en ligne, garantissant que le décryptage est à peine possible sans l'aide des développeurs initiaux.

Cosa est un nouvel échantillon de rançongiciel développé par le célèbre groupe d'extorqueurs STOP/Djvu. Comme de nombreuses autres variantes publiées par ces cybercriminels, celle-ci utilise un modèle de cryptage et d'extorsion presque identique. En s'installant sur une machine infectée, le virus commence à scanner et donc à crypter des données potentiellement importantes. Ce faisant, le virus vise à inciter davantage les victimes à payer pour le décryptage proposé par les attaquants. En plus du cryptage, le logiciel malveillant s'assure également que les victimes peuvent différencier les fichiers verrouillés des fichiers non verrouillés - en attribuant simplement le .coza extension. Par exemple, un fichier précédemment nommé 1.xlsx va changer pour 1.xlsx.coza, 1.pdf à 1.pdf.coza et ainsi de suite avec d'autres types de fichiers ciblés. Pour annuler le cryptage, les victimes sont censées suivre les instructions du _readme.txt note de texte.

Pwpdvl est un virus ransomware conçu pour extorquer de l'argent aux victimes en exécutant le cryptage des données. En d'autres termes, les personnes affectées par ce malware ne pourront plus accéder et consulter leurs fichiers. Lorsque Pwpdvl chiffre des fichiers potentiellement importants, il attribue également l'ID de la victime, ainsi que le .pwpdvl rallonge à la fin. Par exemple, un fichier comme 1.pdf changera en quelque chose comme 1.pdf.[ID-9ECFA84E].pwpdvl et reposer son icône d'origine. Pour que les victimes paient de l'argent pour la récupération, le chiffreur de fichiers crée une note textuelle de rançon (RESTORE_FILES_INFO.txt), qui contient des instructions de déchiffrement. Il est demandé aux victimes de contacter les escrocs (via Bitmessage ou qTOX) et de payer pour le décryptage en crypto-monnaie Monero (XMR). Avant d'envoyer le paiement, les cybercriminels proposent également de tester le décryptage gratuit - les victimes peuvent envoyer 2 fichiers cryptés (non importants et 1 Mo max) et les faire déverrouiller gratuitement. C'est une sorte de garantie que les extorqueurs offrent pour prouver leurs capacités de décryptage et donner une confiance supplémentaire pour payer la rançon. Cependant, veuillez noter que faire confiance aux cybercriminels est toujours un risque. Certains utilisateurs se font berner et ne reçoivent pas les outils/clés de décryptage promis, même s'ils répondent aux demandes. Malgré cela, seuls les développeurs de rançongiciels détiennent malheureusement les clés de déchiffrement nécessaires pour restaurer en toute sécurité l'accès aux données. Un déchiffrement indépendant à l'aide d'outils tiers ou de clichés instantanés Windows peut être possible, mais dans de très rares cas, lorsque le rançongiciel contient des failles ou n'a pas réussi à chiffrer les données comme prévu.

VapeV7 est un virus ransomware conçu pour crypter les données sur les systèmes infectés avec succès. Ce faisant, le virus s'assure que les utilisateurs ne sont plus en mesure d'accéder à/voir leurs propres données, ce qui permet aux pirates d'exiger de l'argent pour leur décryptage. Les fichiers cryptés apparaîtront avec le nouveau .VapeV7 extension et réinitialiser leurs icônes d'origine à vide. Après cela, les victimes recevront des instructions de décryptage dans une fenêtre contextuelle dédiée. Afin de restaurer l'accès aux données, les victimes sont invitées à envoyer 200 $ au portefeuille BTC des cybercriminels (via une adresse dans la fenêtre contextuelle) et à informer les extorqueurs avec l'ID de transaction par e-mail. Notez que les portefeuilles BTC et les e-mails de contact changent chaque seconde, ce qui crée beaucoup d'incertitude quant à l'adresse du portefeuille et à l'e-mail à utiliser. De plus, les portefeuilles BTC affichés sont en fait incorrects et donc inexistants. Un phénomène aussi étrange pourrait être un signe que VapeV7 Ransomware est bogué ou encore en cours de développement. Cependant, il n'est pas exclu que les cybercriminels à l'origine de ce rançongiciel suppriment les bogues et frappent les futures victimes avec des directives de décryptage plus fiables. Malheureusement, malgré ce fait, les fichiers chiffrés par VapeV7 Ransomware sont moins susceptibles d'être déchiffrables manuellement.

Charmant est un programme malveillant appartenant à la catégorie des rançongiciels. Les logiciels malveillants de ce type sont conçus pour crypter l'accès aux données et faire payer les victimes pour leur décryptage. Tout en chiffrant l'accès aux fichiers stockés dans le système, cette variante de ransomware attribue également le .charmant extension pour mettre en évidence les données bloquées. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf et perdre son icône d'origine. Immédiatement après la fin du cryptage, une note textuelle nommée #RECOVERY#.txt est créé pour présenter des directives de décryptage. Pour entrer en contact avec les cybercriminels et demander le décryptage des fichiers verrouillés, les victimes sont invitées à écrire par e-mail ou par le client Jabber (un service de messagerie sécurisé). Après une communication réussie avec les cybercriminels, les victimes devront très probablement payer une certaine rançon pour obtenir un logiciel spécial et une clé de déchiffrement. En outre, le message met également en garde contre toute modification des fichiers ou toute tentative de décryptage à l'aide d'outils tiers, car de telles actions peuvent entraîner des dommages permanents. Bien que ces informations puissent être initialement conçues pour effrayer les utilisateurs inexpérimentés et éventuellement payer pour le décryptage, elles sont en réalité vraies. Sans les bonnes clés de déchiffrement stockées par les cybercriminels, il est rarement possible de déchiffrer les fichiers entièrement et sans risque de dommage. Au moment de la rédaction de cet article, aucun outil tiers n'est connu pour pouvoir décrypter les données verrouillées. Dans de rares cas, les outils de décryptage génériques peuvent ne fonctionner que si le rançongiciel contient des failles ou n'a pas réussi à crypter les fichiers de la manière prévue.

Récemment, des experts ont observé l'épidémie du virus Boty Ransomware (une variante de STOP Ransomware or Djvu Ransomware). Ce logiciel malveillant est apparu en avril 2023. Il s'agit d'un virus de chiffrement qui utilise un algorithme de chiffrement AES-256 puissant pour chiffrer les fichiers utilisateur et les rend indisponibles pour une utilisation sans clé de déchiffrement. Les dernières versions de ce ravageur ajoutent .boty extensions aux fichiers concernés. Boty Ransomware crée un fichier texte spécial, appelé "note de rançon" et nommé _readme.txt. Dans ce fichier texte, les malfaiteurs fournissent des coordonnées, des informations générales sur le cryptage et des options de décryptage. Le virus le copie sur le bureau et dans les dossiers contenant des fichiers cryptés. Les malfaiteurs peuvent être contactés par e-mail : support@freshmail.top ainsi que datarestorehelp@airmail.cc.

Boza Ransomware est une nouvelle variante du STOP/Djvu Ransomware qui a émergé début avril 2023. Ce rançongiciel ajoute le .boza extension aux fichiers cryptés, les rendant inaccessibles à l'utilisateur. Comme d'autres variantes de ransomware, Boza Ransomware utilise des algorithmes de cryptage avancés pour verrouiller les fichiers, exigeant une rançon en échange de la clé de décryptage. Le ransomware cible un large éventail de fichiers, notamment des documents, des images, des vidéos, des fichiers audio et d'autres données utilisateur. Une fois que le ransomware infecte un ordinateur, il analyse l'ensemble du système à la recherche de fichiers et les crypte à l'aide de l'algorithme de cryptage AES-256, les rendant inaccessibles. Le ransomware dépose également une note de rançon appelée _readme.txt, fournissant des instructions à l'utilisateur pour payer la rançon à l'attaquant en échange de la clé de déchiffrement. Les attaquants utilisent également une clé de cryptage unique pour chaque système infecté, ce qui rend difficile pour les chercheurs en sécurité de développer un outil de décryptage universel.