Ransomware

Si vous avez été attaqué par le virus, vos fichiers sont chiffrés, non accessibles et .hhmm extensions, cela signifie que votre PC est infecté par Hhmm Ransomware (appelé quelques fois STOP Ransomware or Djvu Ransomware, nommé après .djvu extension, qui a été initialement ajoutée aux fichiers cryptés). Ce virus de cryptage était très actif depuis 2017 (.hhmm est apparu à la mi-février 2023) et a causé de gros dégâts financiers à des milliers d'utilisateurs. Malheureusement, il est très difficile de traquer les malfaiteurs, car ils utilisent des serveurs TOR anonymes et de la crypto-monnaie. Cependant, avec les instructions données dans cet article, vous pourrez supprimer Hhmm Ransomware et renvoyer vos fichiers. Hhmm Ransomware crée _readme.txt fichier, qui s'appelle «note de rançon» et contient les instructions de paiement et les coordonnées. Le virus le place sur le bureau et dans les dossiers contenant des fichiers cryptés. Les développeurs peuvent être contactés par e-mail: support@freshmail.top ainsi que datarestorehelp@airmail.cc.

Vvoo Rançongiciel est un nom conditionnel, donné par des experts en sécurité, pour la version récente de STOP/Djvu Ransomware, qui ajoute .vvoo extensions aux fichiers. STOP Ransomware est une infection ransomware répandue et de longue durée, qui est active depuis 2017. Comme il utilise le cryptage cryptographique RSA-1024 et la clé en ligne (dans la plupart des cas), le décryptage direct à l'aide de décrypteurs publiés n'est actuellement pas efficace. Cependant, certaines méthodes de récupération de fichiers, fournies dans cet article, peuvent vous aider à restaurer certains de vos fichiers ou même toutes les données. Si vos fichiers ont été cryptés avec une clé hors ligne (2 à 3 % de tous les cas), le décryptage à 100 % devient possible avec STOP Djvu Decryptor de EmsiSoft, présenté sur la page ci-dessous. En général, Vvoo Ransomware crée une note de rançon _readme.txt, qui contient les conditions de décryptage, le montant de la rançon et les coordonnées.

PYAS est classé comme rançongiciel. Ce logiciel malveillant est conçu pour crypter les données stockées dans le système et les garder en otage pour obliger les utilisateurs à payer une rançon. Le nom de ce chiffreur de fichiers vient du .PYAS extension, qui est attribuée à chaque fichier affecté lors du chiffrement. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.PYAS, et ainsi de suite avec d'autres données. Après un cryptage réussi, le virus supprime le README.txt note textuelle contenant des instructions de décryptage. La note contient un bref texte indiquant que tous les types de données essentielles ont été cryptés et que les victimes doivent contacter le ou les extorqueurs via la plateforme Discord (nom d'utilisateur "mtkiao129#2443") afin d'obtenir le décryptage des fichiers. En règle générale, les cybercriminels à l'origine des infections par rançongiciels cherchent à extorquer de l'argent aux victimes - il est donc moins probable que PYAS soit une exception. Payer la rançon ou fournir les informations sensibles aux attaquants est fortement déconseillé.

Vvmm Ransomware est un virus qui exécute le cryptage des données et demande aux victimes de payer une rançon pour son retour. Il vient de la STOP/Djvu famille qui développe et publie de nombreuses versions de ransomwares chaque mois. En fait, tous les chiffreurs de fichiers STOP/Djvu partagent des caractéristiques presque identiques - ils changent les fichiers avec des extensions tirées de leurs noms et créent pratiquement la même note contenant les instructions de déchiffrement (_readme.txt). Cette variante de ransomware s'appelle Vvmm, ce qui signifie qu'elle modifie les fichiers cryptés avec le .vvmm extension. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.vvmm, 1.png à 1.png.vvmm, et ainsi de suite avec les autres données affectées. Une fois ce processus terminé et tous les fichiers ciblés ne sont plus accessibles, les victimes peuvent voir les instructions de décryptage présentées à l'intérieur du _readme.txt note.

Mimic est le nom d'une infection ransomware qui crypte l'accès aux données, ajoute le .QUIETPLACE extension, et demande finalement aux victimes de payer une rançon pour le décryptage. Ce virus est l'une des variantes parmi d'autres crypteurs de fichiers qui ont été développés soi-disant par les mêmes cybercriminels. D'autres versions sont connues pour attribuer des extensions comme .HONESTBITCOIN, .Fora, .PORTHUB, .KASPERSKY ou des extensions composées de 5 à 10 caractères aléatoires. Lors du cryptage, le logiciel malveillant ciblera tous les types de fichiers potentiellement importants et les rendra inaccessibles en exécutant un cryptage algorithmique puissant. Comme mentionné, Mimic Ransomware ajoute également son propre .QUIETPLACE extension, ce qui signifie un fichier comme 1.pdf changera probablement pour 1.pdf.QUIETPLACE, et ainsi de suite. Suite à cela, Mimic a affiché deux notes de rançon identiques - une avant l'écran de connexion et la seconde dans un fichier texte nommé Decrypt_me.txt.

NEVADA est un virus ransomware qui crypte les données sur les systèmes d'exploitation Windows et Linux et exhorte les victimes à payer de l'argent pour son décryptage et la non-divulgation des informations collectées. Au moment de crypter l'accès aux données, le virus attribue également son .NEVADA extension aux fichiers concernés. Par exemple, un fichier initialement nommé 1.pdf va changer pour 1.pdf.NEVADA réinitialiser son icône et devenir inutilisable. Suite à cela, le malware crée readme.txt - une note textuelle avec des directives de décryptage. Les cybercriminels derrière NEVADA Ransomware peuvent varier car ce crypteur de fichiers est ouvert à l'achat par d'autres malfaiteurs (Ransomware en tant que modèle de service).

Érop est une nouvelle variante de ransomware dérivée de la famille STOP/Djvu. Les logiciels malveillants de ce type sont conçus pour crypter les données des utilisateurs et exiger des victimes qu'elles paient pour leur décryptage. En plus de devenir inaccessibles après le cryptage, les fichiers ciblés sont également modifiés visuellement en recevant le nouveau .erop extension. Pour illustrer, un fichier comme 1.pdf va changer pour 1.pdf.erop et ne deviennent plus accessibles. Une fois le cryptage réussi, Erop génère une note de texte appelée _readme.txt qui contient des directives de déchiffrement. Ce nom de note de rançon est assez générique et a également été utilisé par d'autres variantes STOP/Djvu, seulement avec une légère variation dans les coordonnées des cybercriminels. À l'intérieur de cette note, les victimes sont informées qu'il est nécessaire d'acheter un logiciel de décryptage spécialisé pour 980 $ (ou 490 $ si payé dans les 72 heures après l'infection). Lors de l'établissement d'une communication par e-mail avec des escrocs, les victimes peuvent également joindre 1 fichier crypté qui ne contient aucune information précieuse et les cybercriminels le décrypteront gratuitement.

Nigra est le nom d'un chiffreur de fichiers récemment signalé qui est considéré comme une variante de Sojusz Rançongiciel. Les cybercriminels à l'origine de l'attaque réussie cryptent l'accès aux données, puis tentent d'extorquer de l'argent aux victimes pour le décryptage. Les fichiers cryptés par cette infection seront probablement modifiés selon ce schéma [victim's ID>].[cybercriminals' e-mail address] ou [identifiant de la victime>].[nom du fichier] et le .nigra rallonge à la fin. Cela signifie que le fichier affecté peut apparaître comme ceci .[9347652d51].[nigra@skiff.com].nigra ou alors sage. Notez que le processus d'ajout d'une nouvelle extension aux noms de fichiers d'origine n'est qu'une formalité visuelle et ne change en rien le fait du cryptage des fichiers. Après un cryptage complet, le virus laissera un fichier texte avec des instructions de décryptage sur le bureau de la victime. Le nom de la note textuelle de Nigra Ransomware n'a pas encore été divulgué publiquement, cependant, il s'agit probablement de quelque chose de similaire ou similaire à ces exemples. -----README_WARNING-----.txt, #_README-WARNING_#.TXT, README_WARNING_.txt,!!!HOW_TO_DECRYPT!!!.txt, #HOW_TO_DECRYPT#.txt, #HOW_TO_DECRYPT#.txt.