Ransomware

Alice Ransomware est un programme malveillant conçu pour crypter les données personnelles des utilisateurs et exiger de l'argent pour leur décryptage. Tout en chiffrant l'accès aux fichiers à l'aide d'algorithmes sécurisés, le chiffreur de fichiers attribue également le .alice extension aux données cryptées. Par exemple, un fichier comme 1.pdf changera probablement pour 1.pdf.alice et réinitialiser son icône d'origine. De nombreuses infections de rançongiciels attribuent leur extension personnalisée afin de distinguer les fichiers cryptés et de faire remarquer le changement aux utilisateurs. Des instructions sur la façon de retourner les fichiers sont présentées dans le How To Restore Your Files.txt fichier texte, qui est créé après un chiffrement réussi. Cette note textuelle contient des directives écrites en russe, ce qui indique que ce chiffreur vise principalement les utilisateurs russophones. Il convient de noter qu'Alice a été distribuée en deux variantes avec un texte de note de rançon légèrement différent.

STOP Ransomware est un fléau de 2017-2023, virus tenace basé sur la technologie de cryptage, Qotr Ransomware en est une version récente. Ransomware utilise l'algorithme de cryptage AES pour coder les fichiers importants et extorque une rançon en Bitcoins pour le décryptage. Ce malware vise principalement les pays occidentaux, mais des milliers d'infections ont été détectées dans d'autres parties du monde. Qotr Ransomware utilise les mêmes modèles mais ajoute différentes extensions pour modifier les fichiers. La version que nous observons aujourd'hui ajoute .qotr extension. Le crypto-virus affecte les données précieuses de l'utilisateur : photos, vidéos et documents, il prend en otage des fichiers potentiellement critiques. En même temps, il conserve les fichiers système de Windows intacts. Toutes les versions récentes utilisaient un fichier de note de rançon appelé _readme.txt, et cette variation n'est pas une exception. Tous les échantillons appartiennent aux mêmes auteurs, car ils utilisent les mêmes coordonnées : support@freshmail.top ainsi que datarestorehelp@airmail.cc.

Qoqa Rançongiciel (qui fait partie d'une grande famille de STOP/Djvu Ransomware) est un virus odieux, qui crypte les fichiers sur les ordinateurs à l'aide de l'algorithme de cryptage AES, les rend indisponibles et demande de l'argent en échange d'un "décrypteur". Les fichiers traités par la dernière version de STOP Ransomware, en particulier, peuvent être distingués par .qoqa extensions. L'analyse a montré que le programme d'installation cryptographique chargé avec le "crack" ou adware est installé sous un nom arbitraire dans le %LocalAppData%\ dossier. Lorsqu'il est exécuté, il y charge quatre fichiers exécutables: 1.exe, 2.exe, 3.exe ainsi que updatewin.exe. Le premier d'entre eux est chargé de neutraliser Windows Defender, le second est de bloquer l'accès aux sites de sécurité de l'information. Une fois le logiciel malveillant lancé, un faux message apparaît sur l'écran indiquant l'installation de la mise à jour pour Windows. En fait, à ce moment, presque tous les fichiers utilisateur sur l'ordinateur sont cryptés. Dans chaque dossier contenant des documents cryptés, un fichier texte (_readme.txt) apparaît, dans lequel les attaquants expliquent le fonctionnement du virus. Ils proposent de leur payer une rançon pour le décryptage, les exhortant à ne pas utiliser de programmes tiers, car cela peut entraîner la suppression de tous les documents.

Roghe est un virus ransomware ciblant les données personnelles des victimes. Une fois que le logiciel malveillant a infecté un système ciblé, il commence le chiffrement des fichiers potentiellement importants, les rendant inaccessibles jusqu'à ce qu'une clé de déchiffrement soit récupérée. Au cours du processus de cryptage, Roghe Ransomware attribue le .enc extension aux fichiers infectés. Par exemple, un fichier comme 1.pdf se tournera vers 1.pdf.enc et ainsi de suite avec les autres fichiers concernés. Une fois que tous les fichiers sont chiffrés, le virus modifie les fonds d'écran du bureau et force l'ouverture d'une fenêtre contextuelle contenant des directives de déchiffrement. Le texte figurant sur les fonds d'écran nouvellement attribués permet aux utilisateurs de savoir qu'ils ont été infectés et les encourage à suivre les instructions de la fenêtre contextuelle ouverte. En outre, il comporte également un code QR menant à plus d'informations sur le malware. La fenêtre "Roghe Decryptor" indique que les victimes ont 15 minutes pour récupérer la clé et la coller pour déverrouiller l'accès aux fichiers - sinon, les fichiers cryptés seront définitivement supprimés. Il indique également que dans les 20 minutes, le système d'exploitation sera inaccessible, devenant essentiellement verrouillé.

Nouvelle vague de STOP Ransomware l'infection continue avec Qowd Rançongiciel, qui ajoute .qowd extensions. STOP Ransomware a été détecté pour la première fois en 2018 et a depuis évolué pour devenir l'un des types de ransomware les plus répandus. Ces extensions ".qowd" sont ajoutées aux fichiers cryptés fin février 2023. Ce virus délicat utilise l'algorithme de cryptage AES pour coder les informations importantes des utilisateurs. En règle générale, Qowd Ransomware attaque les photos, les vidéos et les documents - des données que les gens apprécient. Les développeurs de logiciels malveillants extorquent une rançon et promettent de fournir une clé de déchiffrement en retour. Le déchiffrement complet des données perdues est possible dans une minorité de cas, si une clé de chiffrement hors ligne a été utilisée, sinon, utilisez les instructions sur la page pour récupérer les fichiers chiffrés. Le ransomware crée également une note de rançon (_readme.txt) qui informe la victime de l'attaque et exige un paiement en Bitcoin ou autres crypto-monnaies en échange de la clé de déchiffrement.

Iotr Ransomware (appelé quelques fois STOP Ransomware or DjVu Ransomware) est un virus de chiffrement très répandu, qui est apparu pour la première fois en décembre 2017. Depuis lors, de nombreux changements techniques et de conception ont eu lieu, et quelques générations de logiciels malveillants ont changé. Ransomware utilise l'algorithme de chiffrement AES-256 (mode CFB) pour encoder les fichiers de l'utilisateur, et après cette dernière version (apparue fin février 2023) ajoute .iotr extensions. Après le cryptage, le virus crée un fichier texte _readme.txt, appelée "note de rançon", où les pirates divulguent le montant de la rançon, les coordonnées et les instructions pour la payer. STOP Ransomware avec les extensions de fichier .iotr utilise les e-mails suivants : support@freshmail.top ainsi que datarestorehelp@airmail.cc, tout comme des dizaines de ses prédécesseurs.

Kangaroo est une infection par rançongiciel publiée par les développeurs à l'origine d'anciens chiffreurs de fichiers, tels que Apocalypse, Fabiansomware et Esmeralda. Bien que ce chiffreur de fichiers circulait activement en 2021, certains utilisateurs peuvent encore se retrouver pénétrés par celui-ci ces jours-ci. Le but des logiciels malveillants de cette catégorie est de crypter des données potentiellement importantes et d'extorquer de l'argent aux victimes pour les décrypter. La fonctionnalité qui distingue Kangaroo des autres infections de rançongiciels courantes est qu'il configure les valeurs de registre pour afficher un message de rançon avant d'accéder à l'écran de connexion Windows. Immédiatement après la connexion au système, il affiche également un faux écran avec le même message de rançon mais cette fois avec un champ dédié pour insérer un mot de passe pour le déverrouiller. Lors du chiffrement, Kangaroo attribue également le .crypted_file extension et crée des messages de rançon identiques sous forme de notes textuelles. Ces notes de texte sont créées en plus de chaque fichier crypté et sont nommées en fonction du nom du fichier post-cryptage (comme ici 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Rançongiciel (aka STOP Ransomware or Djvu Ransomware) est un virus extrêmement dangereux qui crypte les fichiers à l'aide de l'algorithme de cryptage AES-256 et ajoute .ioqa extensions aux fichiers concernés. L'infection implique principalement des fichiers importants et précieux, tels que des photos, des documents, des bases de données, des e-mails, des vidéos, etc. Ioqa Ransomware ne touche pas aux fichiers système pour permettre à Windows de fonctionner, de sorte que les utilisateurs pourront payer la rançon. Si le serveur malveillant n'est pas disponible (l'ordinateur n'est pas connecté à Internet, le serveur des pirates distants ne fonctionne pas), l'outil de chiffrement utilise la clé et l'identifiant qui y sont codés en dur et effectue un chiffrement hors ligne. Dans ce cas, il sera possible de décrypter les fichiers sans payer la rançon. Ioqa Ransomware crée _readme.txt fichier, qui contient le message de rançon et les coordonnées, sur le bureau et dans les dossiers contenant des fichiers cryptés. Les développeurs peuvent être contactés par e-mail: support@freshmail.top ainsi que datarestorehelp@airmail.cc.