Ransomware

SkullLocker est une nouvelle variante de ransomware. La recherche indique qu'il a été développé sur la base de Chaos Ransomware - une autre infection dévastatrice et bien connue. En cas d'infiltration réussie, SkullLocker crypte l'accès aux fichiers, ajoute son propre .skull extension, et crée une demande de rançon (read_it.txt) avec des instructions de décryptage rédigées en polonais. Voici un texte complet présenté dans la note avec sa traduction en anglais. Dans l'ensemble, les cybercriminels exigent que les utilisateurs effectuent un paiement dans les 72 heures, sinon les données seront définitivement perdues. Les utilisateurs sont invités à se familiariser avec les détails de paiement et de récupération via le lien TOR ci-joint. En outre, la note déconseille d'essayer de récupérer des fichiers manuellement car cela pourrait causer des dommages permanents aux fichiers.

Coaq Rançongiciel est le sous-type de STOP Ransomware (ou DJVU Ransomware) et possède toutes les caractéristiques de cette famille de virus. Les logiciels malveillants bloquent l'accès aux données sur les ordinateurs de la victime en les cryptant avec l'algorithme de cryptage AES. STOP Ransomware est l'un des ransomwares les plus anciens. Les premières infections ont été enregistrées en décembre 2017. Coaq Ransomware avec un tel suffixe en est encore une autre génération et ajoute .coaq extensions aux fichiers cryptés. Suite au cryptage, le malware crée un fichier de note de rançon: _readme.txt sur le bureau et dans les dossiers contenant des fichiers encodés. Dans ce fichier, les pirates fournissent des informations sur le décryptage et les coordonnées, telles que les e-mails: support@freshmail.top et de datarestorehelp@airmail.cc.

Nouvelles instances de STOP Ransomware (DjVu Ransomware) continuent d'endommager les fichiers des utilisateurs dans le monde entier. STOP/Djvu Ransomware est un type spécifique de ransomware actif depuis 2017. Il s'agit d'un type de logiciel malveillant de cryptage de fichiers qui crypte les fichiers des victimes et exige un paiement en échange de la clé de décryptage. Ce crypto-virus utilise un algorithme de chiffrement AES complexe pour bloquer l'accès des utilisateurs à leurs données et extorquer une rançon de 490 $ ou 980 $. L'une des nouvelles variantes d'extension, apparue en octobre 2022, est : .cosw. Le ransomware correspondant porte le nom Cosw Rançongiciel. Le virus ajoute de tels suffixes à la fin des fichiers cryptés. Si vos fichiers ont une telle fin et ne sont pas accessibles, cela signifie que votre PC est infecté par STOP Ransomware. Les développeurs de logiciels malveillants modifient légèrement le virus techniquement.

Goba Rançongiciel, qui est en fait la prochaine génération de STOP Ransomware est apparu début mars 2023. Ce virus crypte les fichiers essentiels des utilisateurs, tels que les documents, les photos, les bases de données, la musique avec le cryptage AES et ajoute .goba extensions des fichiers concernés. Ce ransomware est presque identique à de nombreuses versions précédentes du malware, que nous avons décrites précédemment, et appartient aux mêmes auteurs, et utilise les mêmes adresses e-mail (support@freshmail.top et de datarestorehelp@airmail.cc) et les mêmes portefeuilles Bitcoin. Le décryptage complet est presque impossible, cependant, vos données peuvent être partiellement restaurées en suivant les instructions de cet article. Une fois le virus terminé, il crée _readme.txt fichier avec la note de rançon sur le bureau et dans les dossiers contenant les fichiers concernés.

Si vos fichiers ont été soudainement modifiés avec le .wannasmile extension (par exemple, 1.pdf.wannasmile) et vous voyez maintenant un message demandant une rançon dans la fenêtre contextuelle, alors vous avez probablement affaire à WannaSmile Rançongiciel. Bien qu'il n'y ait pas suffisamment de justification pour cela, WannaSmile pourrait être une nouvelle version d'un autre ransomware du même nom de 2017 (par des développeurs iraniens), qui a attribué le .WSmile extension. En général, ces logiciels malveillants sont généralement conçus pour rendre les données inaccessibles (en exécutant un chiffrement), puis extorquer de l'argent aux victimes pour leur déchiffrement.

Développé par Djvu famille, Goaq Ransomware est un programme malveillant qui exécute un chiffrement poussé des données personnelles. Il utilise des algorithmes populaires mais puissants pour verrouiller sévèrement les fichiers stockés. Cela empêche donc les utilisateurs de réussir le décryptage manuel. Sachant que les utilisateurs ne pourront pas récupérer les fichiers par eux-mêmes, les cybercriminels proposent de décrypter les données à l'aide de leurs outils moyennant une certaine somme d'argent. Les détails qui sont présentés dans une note textuelle appelée _readme.txt, qui est créé après que Goaq a attribué de nouvelles extensions aux données. Plus précisément, il ajoute la .goaq extension pour que les fichiers cryptés ressemblent à ceci 1.pdf.goaq. Dès que ces changements seront effectués, les utilisateurs ne pourront plus accéder à leurs données.

Cet article contient des informations sur Gosw Ransomware version de STOP Ransomware qui ajoute .gosw extensions aux fichiers cryptés et crée des fichiers de demande de rançon sur le bureau et dans les dossiers contenant les fichiers concernés. Malheureusement, l'algorithme de cryptage de ce ransomware est actuellement incassable, mais il existe de petites chances de restaurer vos fichiers, que nous décrivons dans ce texte. Gosw Ransomware est activement distribué dans les pays suivants : États-Unis, Canada, Espagne, Mexique, Turquie, Égypte, Brésil, Chili, Équateur, Venezuela, Allemagne, Pologne, Hongrie, Indonésie, Thaïlande. Cette variation est apparue pour la première fois début mars 2023 et est presque identique aux dizaines de variations précédentes. Le virus Ransomware utilise toujours l'algorithme de cryptage AES et exige toujours une rançon en Bitcoin pour le décryptage.

Alice Ransomware est un programme malveillant conçu pour crypter les données personnelles des utilisateurs et exiger de l'argent pour leur décryptage. Tout en chiffrant l'accès aux fichiers à l'aide d'algorithmes sécurisés, le chiffreur de fichiers attribue également le .alice extension aux données cryptées. Par exemple, un fichier comme 1.pdf changera probablement pour 1.pdf.alice et réinitialiser son icône d'origine. De nombreuses infections de rançongiciels attribuent leur extension personnalisée afin de distinguer les fichiers cryptés et de faire remarquer le changement aux utilisateurs. Des instructions sur la façon de retourner les fichiers sont présentées dans le How To Restore Your Files.txt fichier texte, qui est créé après un chiffrement réussi. Cette note textuelle contient des directives écrites en russe, ce qui indique que ce chiffreur vise principalement les utilisateurs russophones. Il convient de noter qu'Alice a été distribuée en deux variantes avec un texte de note de rançon légèrement différent.