Ransomware

Cylance est le nom d'une infection ransomware qui cible les utilisateurs Windows et Linux. Les utilisateurs infectés par ce type de malware ne pourront plus accéder à leurs données en raison du cryptage. De plus, les victimes verront également les fichiers concernés modifiés avec le .Cylance extension. Après cela, ils ne seront plus accessibles et les victimes devront suivre les instructions de décryptage dans la note de rançon générée (nommée CYLANCE_README.txt). Veuillez noter que Cylance Ransomware n'a rien à voir avec Cylance by BlackBerry - des solutions de cybersécurité d'entreprise légitimes. En général, la note de rançon indique que les données de la victime ont été cryptées et que les cybercriminels sont les seuls détenteurs de clés privées capables de les décrypter. Pour obtenir cette clé et vraisemblablement un logiciel pour exécuter le décryptage, les victimes sont invitées à contacter les escrocs par e-mail et à leur transférer de l'argent. Le prix n'est pas divulgué et très probablement calculé pour chaque victime séparément. De plus, les cybercriminels proposent également de tester gratuitement le décryptage en envoyant un fichier crypté. Peu importe à quel point les cybercriminels semblent dignes de confiance, il est toujours déconseillé de collaborer avec eux et de payer la rançon. De nombreuses victimes finissent par être dupées et ne reçoivent pas les outils de décryptage promis. Bien que cela n'ait pas été signalé comme étant le cas avec Cylance Ransomware, le risque existe néanmoins.

Nifr Rançongiciel, faisant partie de STOP Ransomware (DjVu Ransomware), est un virus de cryptage élaboré, qui crypte les fichiers de l'utilisateur et les rend inaccessibles. Les logiciels malveillants utilisent un algorithme de cryptage AES incassable (Salsa20) et le décryptage n'est possible que dans 2 à 3 % des cas. Il génère d'abord une clé de cryptage AES-256 unique pour chaque fichier qu'il crypte, qui est utilisée pour crypter le contenu du fichier. Ce processus est connu sous le nom de chiffrement symétrique, car la même clé est utilisée pour chiffrer et déchiffrer le fichier. Après avoir chiffré le fichier avec la clé AES-256, Nifr Ransomware chiffre ensuite la clé AES-256 avec une clé publique RSA-1024, qui est incluse dans le code du ransomware. Ce processus est connu sous le nom de cryptage asymétrique, car il utilise différentes clés pour le cryptage et le décryptage. La version récente de STOP Ransomware ajoute le suffixe ou l'extension suivant : .nifr. La variante de virus correspondante a reçu des noms : Nifr Ransomware. Après le cryptage, le ransomware crée _readme.txt fichier, que les spécialistes appellent "note de rançon", et ci-dessous vous pouvez vous familiariser avec le contenu de ce fichier. La note contient des instructions sur la façon de contacter les opérateurs de ransomware et de payer la rançon afin de recevoir la clé de déchiffrement. Le ransomware est généralement distribué par le biais de spams, de fausses mises à jour logicielles et de cracks/keygens logiciels. Il est important de noter que le paiement de la rançon n'est pas recommandé, car cela encourage les criminels et il n'y a aucune garantie que la clé de déchiffrement sera fournie.

D7k est le nom d'une infection ransomware récemment découverte. Comme les autres infections de cette catégorie, il est conçu pour crypter les données stockées dans le système et extorquer de l'argent aux victimes pour leur décryptage. Pendant le cryptage, tous les fichiers ciblés recevront .D7k extension et réinitialiser leurs icônes à blanc. Par conséquent, les utilisateurs ne pourront plus accéder à leurs fichiers, même après avoir supprimé manuellement l'extension nouvellement attribuée. Une fois le cryptage réussi, le virus crée un fichier texte appelé note.txt, qui contient des instructions de déchiffrement. La note contient un court texte exigeant 500 dollars pour le décryptage des fichiers. Ce montant est à envoyer sur le portefeuille bitcoin attaché par les cybercriminels. Le message n'inclut aucun canal de communication, ce qui rend le processus de décryptage ambigu. Le paiement de la rançon n'est pas recommandé car de nombreux cybercriminels trompent leurs victimes et n'envoient pas en retour les moyens de décryptage promis. Cependant, dans ce cas, cela semble encore plus risqué en raison du manque de canaux de communication pour contacter les extorqueurs. Malgré cela, les cybercriminels sont généralement les seuls à pouvoir déverrouiller l'accès aux données de manière complète et sécurisée. Au moment où cet article a été écrit, aucun outil tiers public n'est connu pour contourner les chiffrements attribués par D7k Ransomware. Le déchiffrement à l'aide d'outils tiers ou de clichés instantanés Windows n'est possible que dans de rares cas où le ransomware est défectueux ou accidentellement défectueux pendant son fonctionnement pour quelque raison que ce soit. Sinon, les seuls moyens de récupérer vos données sont soit de collaborer avec des développeurs de rançongiciels, soit de récupérer des données à partir de copies de sauvegarde existantes. Les sauvegardes sont des copies de données stockées sur des périphériques externes tels que des clés USB, des disques durs externes ou des SSD.

Jycx Rançongiciel (dans une autre classification STOP Ransomware or Djvu Ransomware) est un logiciel malveillant nuisible, qui bloque l'accès aux fichiers de l'utilisateur en les cryptant et nécessite un rachat. Il est sorti dans les derniers jours de mars 2023 et a touché des dizaines de milliers d'ordinateurs. Le virus utilise un algorithme de cryptage incassable (AES-256 avec clé RSA-1024) et demande une rançon à payer en Bitcoins. Cependant, en raison de certaines erreurs de programmation, il existe des cas où vos fichiers peuvent être décryptés. Une version de STOP Ransomware, que nous envisageons aujourd'hui, ajoute .jycx extensions aux fichiers cryptés, et a donc reçu le nom de Jycx Ransomware. Après le cryptage, il présente le fichier _readme.txt à la victime. Ce fichier texte contient des informations sur l'infection, les coordonnées et de fausses déclarations sur les garanties de décryptage. Les e-mails suivants sont utilisés par les malfaiteurs pour la communication : support@freshmail.top ainsi que datarestorehelp@airmail.cc.

Hairysquid est une variante récemment découverte du Mimic rançongiciel. Après pénétration, il modifie la GroupPolicy de Windows, désactive la protection par Windows Defender et désactive les autres fonctionnalités de Windows pour exclure toute dissuasion de son activité malveillante. Le but de cette infection est de chiffrer l'accès aux données stockées dans le système et d'exiger de l'argent pour son déchiffrement. Pendant les processus de cryptage, le virus attache le .Hairysquid extension à tous les fichiers concernés. Une fois fait, un fichier comme 1.pdf se tournera vers 1.pdf.Hairysquid et changer éventuellement son icône. Des instructions sur la façon de déchiffrer les données bloquées sont présentées dans le READ_ME_DECRYPTION_HAIRYSQUID.txt note, qui est créée parallèlement à un cryptage réussi. Dans l'ensemble, il est dit que les victimes ont été attaquées par des ransomwares, qui ont crypté leurs données. Afin de réparer les dégâts et de récupérer les fichiers, les victimes doivent contacter les escrocs via l'un des canaux de communication fournis (TOX messenger, ICQ messenger, Skype et e-mail) et payer pour le décryptage en Bitcoins. Le prix du décryptage est censé être calculé en fonction du nombre et de la valeur potentielle des données cryptées. De plus, il est également permis de tester gratuitement le décryptage en envoyant 3 fichiers verrouillés aux cybercriminels. Hélas, il est généralement impossible de décrypter les données bloquées sans l'intervention des cybercriminels eux-mêmes.

Jyos Ransomware (alias Djvu Ransomware or STOP Ransomware) crypte les fichiers de la victime avec Salsa20 (système de cryptage de flux) et ajoute l'une des centaines d'extensions possibles, y compris la dernière découverte .jyos. Celui-ci est apparu fin mars 2023 et a infecté des milliers d'ordinateurs dans le monde. STOP est l'un des rançongiciels les plus actifs aujourd'hui, mais ils en parlent à peine. La prévalence de STOP est également confirmée par le fil de discussion extrêmement actif sur Bleeping Computer, où les victimes demandent de l'aide. Le fait est que ce logiciel malveillant attaque principalement les fans de contenu piraté, les visiteurs de sites suspects et est distribué dans le cadre de forfaits publicitaires. Il existe une possibilité de décryptage réussi, cependant, à ce jour, il existe plus de deux cents variantes de STOP Ransomware connues des chercheurs, et une telle variété complique considérablement la situation.

Jypo Ransomware est la prochaine génération de STOP Ransomware famille des mêmes auteurs. La famille des rançongiciels est connue pour sa large distribution et ses mises à jour fréquentes avec de nouvelles variantes. Comme les autres membres de la famille Djvu, Jypo Ransomware est conçu pour chiffrer les fichiers de la victime et exiger le paiement d'une rançon en échange de la clé de déchiffrement. La note de rançon laissée par Jypo Ransomware demande à la victime de contacter les attaquants par e-mail pour négocier le paiement de la rançon. Ce virus vise les fichiers importants de l'utilisateur, tels que les documents, les photos, les bases de données, la musique, le courrier. Ransomware les encode avec le cryptage AES et ajoute .jypo extensions aux fichiers concernés. Toutes ces variantes utilisent des algorithmes similaires, qui sont incassables, cependant, dans certaines conditions, les fichiers .jypo, cryptés par le ransomware, peuvent être décryptés à l'aide de STOP Djvu Decryptor (fourni ci-dessous). Cette version de STOP Ransomware utilise les adresses e-mail suivantes : support@freshmail.top ainsi que datarestorehelp@airmail.cc. Jypo Ransomware crée _readme.txt fichier de note de rançon.

Jywd est une infection ransomware provenant du Djvu/STOP famille. Cette famille est un groupe de développeurs chargés d'infecter un groupe d'utilisateurs avec différents chiffreurs de fichiers. Jywd est nouveau, apparu fin mars 2023, mais présente des traits très similaires à ses prédécesseurs. Jywd Ransomware, comme d'autres variantes de la famille STOP/Djvu Ransomware, utilise une combinaison d'algorithmes de chiffrement AES-256 et RSA-1024 pour chiffrer les fichiers de la victime. AES-256 est utilisé pour chiffrer les fichiers eux-mêmes, tandis que RSA-1024 est utilisé pour chiffrer la clé AES-256. Cela rend extrêmement difficile la récupération des fichiers cryptés sans la clé de décryptage. Le virus crypte les données personnelles tout en attribuant le .jywd extension. Pour illustrer, un fichier appelé 1.pdf connaîtra un changement pour 1.pdf.jywd et réinitialiser son icône d'origine après un cryptage réussi. Afin de décrypter les données bloquées, les victimes reçoivent des instructions à suivre dans une demande de rançon (_readme.txt).