Ransomware

Jypo Ransomware est la prochaine génération de STOP Ransomware famille des mêmes auteurs. La famille des rançongiciels est connue pour sa large distribution et ses mises à jour fréquentes avec de nouvelles variantes. Comme les autres membres de la famille Djvu, Jypo Ransomware est conçu pour chiffrer les fichiers de la victime et exiger le paiement d'une rançon en échange de la clé de déchiffrement. La note de rançon laissée par Jypo Ransomware demande à la victime de contacter les attaquants par e-mail pour négocier le paiement de la rançon. Ce virus vise les fichiers importants de l'utilisateur, tels que les documents, les photos, les bases de données, la musique, le courrier. Ransomware les encode avec le cryptage AES et ajoute .jypo extensions aux fichiers concernés. Toutes ces variantes utilisent des algorithmes similaires, qui sont incassables, cependant, dans certaines conditions, les fichiers .jypo, cryptés par le ransomware, peuvent être décryptés à l'aide de STOP Djvu Decryptor (fourni ci-dessous). Cette version de STOP Ransomware utilise les adresses e-mail suivantes : support@freshmail.top ainsi que datarestorehelp@airmail.cc. Jypo Ransomware crée _readme.txt fichier de note de rançon.

Jywd est une infection ransomware provenant du Djvu/STOP famille. Cette famille est un groupe de développeurs chargés d'infecter un groupe d'utilisateurs avec différents chiffreurs de fichiers. Jywd est nouveau, apparu fin mars 2023, mais présente des traits très similaires à ses prédécesseurs. Jywd Ransomware, comme d'autres variantes de la famille STOP/Djvu Ransomware, utilise une combinaison d'algorithmes de chiffrement AES-256 et RSA-1024 pour chiffrer les fichiers de la victime. AES-256 est utilisé pour chiffrer les fichiers eux-mêmes, tandis que RSA-1024 est utilisé pour chiffrer la clé AES-256. Cela rend extrêmement difficile la récupération des fichiers cryptés sans la clé de décryptage. Le virus crypte les données personnelles tout en attribuant le .jywd extension. Pour illustrer, un fichier appelé 1.pdf connaîtra un changement pour 1.pdf.jywd et réinitialiser son icône d'origine après un cryptage réussi. Afin de décrypter les données bloquées, les victimes reçoivent des instructions à suivre dans une demande de rançon (_readme.txt).

@BLOCKED est une infection ransomware qui crypte des données potentiellement précieuses et oblige les victimes à effectuer certaines actions afin de restaurer l'accès à celles-ci. Une fois le cryptage réussi, tous les noms de fichiers se verront attribuer une extension personnalisée commençant par un chaîne de caractères aléatoire et se terminant par @BLOCKED. Par exemple, un fichier comme 1.pdf va changer pour quelque chose comme 1.pdf.i34ot23@BLOCKED et ne deviennent plus accessibles. Ensuite, le cryptage réussi est suivi de la création d'une note textuelle de rançon - également nommée avec des caractères aléatoires précédant l'extension ".txt" (par exemple, mesgwuibjpdrdum.txt). Cette note contient des instructions sur la façon de récupérer les données cryptées.

L'épidémie de STOP Ransomware continue encore, avec son autre successeur appelé Tyos Ransomware. Ce méchant virus frappe des milliers d'ordinateurs partout dans le monde, ciblant principalement les États-Unis, le Canada, l'Europe, l'Afrique du Sud, l'Australie et la Nouvelle-Zélande. La version la plus récente, sortie fin mars 2023, utilise .tyos extension, qu'il ajoute à la fin des fichiers cryptés. Comme DjVu Ransomware utilise l'algorithme de chiffrement AES, la probabilité de déchiffrement est faible, mais existe. Tyos Ransomware endommage les données importantes des utilisateurs : photos, vidéos, documents et autres types d'informations, les victimes sont prêtes à payer une rançon. En même temps, il ne touche pas aux fichiers système pour que Windows reste opérationnel. La dernière génération de ce virus crée un fichier de demande de rançon appelé _readme.txt. Ce fichier fournit des informations générales sur l'infection, le montant de la rançon et les coordonnées.

Typo Ransomware est un crypto-virus dévastateur (variation de STOP Ransomware), qui utilise l'algorithme de chiffrement asymétrique AES-256 pour restreindre l'accès des utilisateurs à leurs fichiers sans la clé. Ajout de logiciels malveillants .typo extensions de fichiers les rendent illisibles et extorquent une rançon pour le décryptage. La variante "Typo" est apparue en mars 2023 et a infecté des dizaines de milliers d'ordinateurs dans le monde. Malheureusement, en raison de modifications techniques dans la dernière version, la récupération de fichiers est impossible sans sauvegardes. Cependant, certaines fonctionnalités et outils Windows standard peuvent vous aider à restaurer au moins certains fichiers. Un logiciel de récupération de fichiers peut également être utile dans ce cas. Dans la zone de texte ci-dessous, il y a un message texte de _readme.txt fichier, appelé "note de rançon". Ci-dessous dans la zone de texte, vous pouvez vous familiariser avec l'exemple d'un tel fichier. Dans ce fichier, les malfaiteurs divulguent des informations de contact, le prix du décryptage et les moyens de payer la rançon.

Rans-A est une nouvelle variante de chiffrement de fichiers appartenant à la famille Xorist. Après avoir réussi à infiltrer le système, le rançongiciel procédera au cryptage des données potentiellement importantes et ajoutera .Rans-A au nom de fichier d'origine. Par conséquent, un fichier précédemment accessible comme 1.pdf va changer pour 1.pdf.Rans-A et deviennent à accès restreint. L'objectif principal du ransomware est d'extorquer de l'argent aux victimes pour le décryptage des fichiers. Ainsi, le virus affiche un message d'erreur et crée un fichier texte appelé HOW TO DECRYPT FILES.txt que les deux montrent des instructions de décryptage (en portugais). Dans l'ensemble, les victimes affirment que le seul moyen de récupérer des données dans leur état d'origine est de contacter les cybercriminels dans le délai imparti. Si les victimes ne le font pas avant la fin du délai, le décryptage ne sera plus disponible. En outre, la note met également en garde les victimes contre la suppression, le changement de nom ou le signalement du message de rançon à tout site Web/autorité. Sinon, les e-mails des cybercriminels risquent de se retrouver bloqués et de ne plus accepter les demandes de décryptage des données. En règle générale, lorsqu'ils contactent les cybercriminels, ils fixent un prix à payer pour le décryptage.

Le nombre de requêtes liées à une nouvelle activité de ransomware augmente chaque jour avec de nouvelles infections. Cette fois-ci, les utilisateurs ont affaire à Tycx Rançongiciel, qui est une pièce nouvelle et dangereuse développée par le Djvu/STOP famille. Cette version particulière a commencé à infecter les ordinateurs dans la seconde moitié de mars 2023. Son activité récente a chiffré de nombreuses données personnelles avec des algorithmes puissants. Bien que Tycx Ransomware n'ait pas encore été totalement inspecté, certaines choses sont déjà claires. Par exemple, le virus reconfigure divers types de données (images, documents, bases de données, etc.) en changeant les extensions d'origine en .tycx. Cela signifie que tous les types de données enregistreront leur nom initial, mais changer l'extension principale en quelque chose comme ça "1.pdf.tycx". Une fois le processus de cryptage terminé, vous ne pourrez plus accéder à vos données. Afin de le récupérer, les extorqueurs ont programmé la création de notes identiques déposées dans des dossiers cryptés ou sur un bureau. Le nom de la note est généralement _readme.txt, qui contient des instructions détaillées sur la façon de récupérer vos données.

Tywd Rançongiciel (la dernière version de STOP or Djvu Ransomware) est extrêmement dangereux et l'un des virus de chiffrement les plus actifs. Plus de la moitié des soumissions de ransomwares à ID-Ransomware (service d'identification des ransomwares) sont faites par des victimes de STOP Ransomware. Bien qu'il soit en circulation depuis quelques années, le nombre d'infections causées par Tywd Ransomware continue d'augmenter. C'est peut-être un peu ironique, mais la plupart des victimes (pour le moment) sont des utilisateurs de logiciels piratés. La version du virus, qui est à l'étude aujourd'hui, ajoute .tywd extension aux fichiers. Le programme malveillant crée également un fichier texte (appelé _readme.txt) dans chaque dossier infecté, ce qui explique à l'utilisateur que son ordinateur est infecté, et qu'il ne pourra pas accéder à ses données tant qu'il n'aura pas payé une rançon de 980 $. Si l'utilisateur paie dans les 72 heures suivant l'infection, la rançon est réduite à 490 dollars américains. L'exemple de cette note de rançon est présenté ci-dessous.