Ransomware

Dazx Ransomware est une version du STOP/Djvu famille des rançongiciels. Il s'agit d'un type de logiciel malveillant qui crypte les fichiers sur l'ordinateur d'une victime et exige le paiement d'une rançon en échange de la clé de décryptage. Lorsque le Dazx Ransomware infecte un ordinateur, il crypte les fichiers de la victime à l'aide d'un algorithme de cryptage puissant, les rendant inaccessibles à la victime. Les logiciels malveillants utilisent un algorithme de chiffrement symétrique pour chiffrer les fichiers de la victime. Plus précisément, il utilise le chiffrement de flux Salsa20 pour chiffrer les données. La clé de cryptage est générée aléatoirement pour chaque victime, et elle est stockée sur le serveur de l'attaquant. Les fichiers cryptés auront une nouvelle extension ajoutée à leurs noms de fichiers, comme .dazx. Le Dazx Ransomware crée également un fichier de note de rançon appelé _readme.txt dans chaque dossier contenant des fichiers cryptés. Ce fichier contient des instructions sur la façon de payer la rançon afin de recevoir la clé de déchiffrement. La note de rançon met également en garde la victime contre toute tentative de déchiffrement des fichiers à l'aide d'un logiciel tiers, car cela peut entraîner une perte de données permanente.

Code est le nom d'une nouvelle variante de ransomware qui infecte les organisations afin d'exécuter le chiffrement des données et d'extorquer de l'argent en échange de la clé de déchiffrement. Lors du chiffrement, il ajoute le .code extension et crée une demande de rançon (appelée !!!HOW_TO_DECRYPT!!!.txt) avec des instructions sur la façon de déchiffrer les données bloquées. Voici à quoi ressemblerait un fichier infecté après chiffrement - 1.pdf.code, 2.png.code, et ainsi de suite avec d'autres types de fichiers ciblés par le virus. Dans la note, les cybercriminels tentent de persuader les victimes de payer la rançon pour le décryptage. On dit que les victimes doivent installer le messager TOX et écrire aux extorqueurs en utilisant l'ID TOX fourni. À moins que les victimes ne répondent à ces demandes et refusent d'acheter le décryptage, les acteurs de la menace menacent de commencer à partager au hasard les données cryptées avec d'autres parties ou de les divulguer/vendre sur le dark web et d'autres ressources douteuses.

Dapo Rançongiciel est une variante du STOP/Djvu Ransomware, qui est un type de logiciel malveillant qui crypte les fichiers sur l'ordinateur d'une victime et exige le paiement d'une rançon en échange d'une clé de décryptage pour restaurer les fichiers. Pendant le cryptage, ce logiciel malveillant modifie les extensions de fichier pour .dapo. Une fois le processus de cryptage terminé, le rançongiciel dépose une note de rançon sur le bureau de la victime et dans chaque dossier contenant des fichiers cryptés. La note contient des instructions sur la façon de payer la rançon afin de recevoir la clé de déchiffrement. Les attaquants exigent généralement un paiement en crypto-monnaie, comme le Bitcoin. Il est important de noter qu'il n'y a aucune garantie que le paiement de la rançon entraînera le décryptage des fichiers. Dans certains cas, les victimes ont payé la rançon mais n'ont jamais reçu la clé de déchiffrement, tandis que dans d'autres cas, la clé de déchiffrement fournie par les attaquants s'est avérée inefficace. Le nom du fichier de note de rançon utilisé par Dapo Ransomware suit la même convention de dénomination. Le fichier est nommé _readme.txt. La note de rançon contient des instructions sur la façon de payer la rançon afin de recevoir la clé de déchiffrement, et elle comprend généralement une adresse e-mail, que la victime peut utiliser pour communiquer avec les attaquants.

Qarj est une nouvelle variante de ransomware développée et publiée par un modèle notoire STOP/Djvu famille. Cette variante particulière a été publiée en mars 2023. Étant un virus de cryptage de fichiers, il bloque l'accès aux données personnelles en utilisant des algorithmes de cryptage sécurisés. Cela signifie que les fichiers stockés sur un PC ne seront plus ouverts par les utilisateurs jusqu'à ce qu'ils soient déchiffrés. Actuellement, il existe de petites chances de déchiffrement des fichiers chiffrés par Qarj. Seuls 1 à 2 % des cas sont déchiffrables, lorsque certaines conditions sont remplies. Suivez toutes les instructions de cette page jusqu'à ce que vous obteniez des données restaurées. Afin de montrer que tous les fichiers ont été mis sous clé, les développeurs ajoutent le nouveau .qarj extension à chacun des fichiers. Par exemple, un exemple de fichier comme 1.pdf va changer pour 1.pdf.qarj et réinitialiser son icône éventuellement. Une fois cette partie du cryptage terminée, le virus crée une note textuelle (_readme.txt) avec des instructions de rançon.

Qapo Ransomware est un nouveau programme de cryptage de fichiers développé et publié par les auteurs de STOP/Djvu famille. Presque toutes les versions ayant droit à ce groupe d'extorqueurs emploient des étapes similaires pour extorquer de l'argent aux victimes. Cette variante particulière a été publiée à la mi-mars 2023. Une fois que Qapo est installé sur votre PC, il exécute une analyse rapide de votre système pour trouver des données sensibles. Ensuite, une fois ce processus terminé, le programme malveillant parvient à chiffrer vos données. Pendant ce temps, tous les fichiers sont modifiés avec le .qapo extension, qui apparaît à la fin de chaque nom de fichier. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.qapo, et de même. Une fois que vous aurez repéré un tel changement immédiat, vous ne pourrez plus accéder aux données. Afin de le déchiffrer, les cybercriminels indiquent aux victimes les étapes répertoriées dans une note textuelle (_readme.txt), qui s'ouvre à la fin du cryptage. Toutes les versions récentes de cette famille de ransomwares ont utilisé un texte identique dans les notes.

Qazx Rançongiciel est appelé ainsi, à cause de .qazx extension, ajoutée aux fichiers concernés, modifiant les extensions d'origine de divers types de données sensibles. Cette version est apparue à la mi-mars 2023. En fait, techniquement, c'est STOP Ransomware, qui utilise des algorithmes de cryptage AES pour crypter les fichiers de l'utilisateur. Ce suffixe est l'une des centaines d'extensions différentes utilisées par ce malware. Cela signifie-t-il que vous avez perdu vos précieuses données? Pas nécessairement. Il existe certaines méthodes, qui vous permettent de récupérer vos fichiers totalement ou partiellement. En outre, il existe un utilitaire de décryptage gratuit appelé STOP Djvu Decryptor de EmsiSoft, qui est constamment mis à jour et est capable de décrypter des centaines de types de ce virus. Après avoir terminé son activité désastreuse, Qazx Ransomware crée _readme.txt fichier (note de rançon), où il informe les utilisateurs du fait du cryptage, du montant de la rançon et des conditions de paiement.

Si vous ne pouvez pas ouvrir vos fichiers et qu'ils ont .craa extension ajoutée à la fin des noms de fichiers, cela signifie que votre PC est infecté par Craa Ransomware, la partie de STOP/Djvu Ransomware famille. Ce malware tourmente ses victimes depuis 2017 et est déjà devenu le virus de type ransomware le plus répandu de l'histoire. Il infecte des milliers d'ordinateurs par jour en utilisant diverses méthodes de distribution. Il utilise une combinaison complexe d'algorithmes de cryptage symétriques ou asymétriques, supprime les points de restauration Windows, les versions précédentes des fichiers Windows, les clichés instantanés et ne laisse fondamentalement que 3 possibilités de récupération. La première consiste à payer la rançon, cependant, il n'y a absolument aucune garantie que les malfaiteurs renverront la clé de déchiffrement. La deuxième possibilité est très improbable, mais vaut la peine d'être essayée - en utilisant un outil de décryptage spécial d'Emsisoft, appelé STOP Djvu Decryptor. Il ne fonctionne que sous un certain nombre de conditions, que nous décrivons dans le paragraphe suivant. Le troisième utilise des programmes de récupération de fichiers, qui servent souvent de solution de contournement aux problèmes d'infection par ransomware. Observons le fichier de demande de rançon (_readme.txt), que le virus place sur le bureau et dans les dossiers contenant les fichiers cryptés.

Esxi (ESXiArgs) Ransomware est une infection malveillante qui cible les organisations en exploitant les vulnérabilités dans VMware ESXi - un outil de machine virtuelle utilisé pour gérer et optimiser divers processus au sein des organisations. Les rapports de sécurité indiquent que les cybercriminels exploitent les vulnérabilités connues de VMware ESXi pour accéder aux serveurs et déployer le rançongiciel ESXiArgs sur le système ciblé. Une fois cela fait, le virus commencera à chercher à chiffrer les fichiers situés sur la machine virtuelle avec les extensions suivantes : .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Pour chaque fichier crypté, le ransomware créera également un fichier séparé avec .ESXiArgs or .args extension avec des métadonnées à l'intérieur (probablement nécessaires pour un décryptage futur).