Ransomware

OBZ est un virus de type ransomware qui crypte l'accès aux données et fait chanter les victimes pour qu'elles paient de l'argent pour le décryptage. Au moment du cryptage, le virus altère les fichiers ciblés avec le .OBZ extension. Par exemple, un fichier initialement nommé 1.pdf se transformera en 1.pdf.OBZ or 1.pdf.obz selon la version du ransomware qui a pénétré le système. De plus, les victimes ont également signalé avoir vu un processus malveillant nommé Traffic Light dans le Gestionnaire des tâches de Windows. Une fois le processus de cryptage terminé, OBZ Ransomware crée un document texte (ReadMe.txt) qui contient des instructions de déchiffrement. Il est à noter que le contenu de cette note de rançon est identique à d'autres précédemment découverts U2K ainsi que MME ransomware, ce qui peut indiquer qu'OBZ a été développé par le même groupe de développeurs.

CryWiper est un virus dévastateur qui endommage la configuration des données pour les rendre inaccessibles, puis demande de l'argent aux victimes pour un faux décryptage. Les développeurs de CryWiper déguisent leur logiciel en ransomware qui crypte les données, cependant, il s'agit en fait d'un effaceur de données qui corrompt simplement les fichiers. Lors de l'exécution du "cryptage", le virus supprime tous les clichés instantanés du lecteur racine et ajoute le nouveau .CRY extension pour mettre en surbrillance les fichiers. Par exemple, un fichier initialement nommé 1.pdf se transformera en 1.pdf.CRY et s'endommager de façon permanente. Après cela, CryWiper crée un fichier appelé README.txt avec des instructions de décryptage trompeuses. Il est connu que CryWiper évite d'endommager les fichiers .exe, .dll, .lnk, .msi et .sys et autres stockés dans les répertoires Boot, System et Windows. En outre, ce virus a également été observé se propager via le browserupdate.exe fichier malveillant, programmé en langage C++ et ciblant des organisations localisées en Russie.

Beijing est une infection classée ransomware qui crypte l'accès aux données et exige que les victimes paient de l'argent pour son décryptage. Ce chiffreur de fichiers est également probablement publié par les mêmes cybercriminels qui ont précédemment développé un autre logiciel de rançon nommé LeakTheMall. Pendant le cryptage, les victimes verront leurs fichiers changer visuellement - c'est le nouveau .beijing qui leur seront éventuellement ajoutés. Par exemple, un nommé à l'origine 1.pdf va changer pour 1.pdf.beijing et ne deviennent plus accessibles. Après cela, le virus crée des instructions textuelles dans !RECOVER.txt expliquant ce qu'il faut faire pour récupérer les données.

Trigona est le nom d'un virus rançongiciel qui crypte les données des utilisateurs professionnels (par exemple, les entreprises) et demande de l'argent pour le décryptage des fichiers. Lors du chiffrement, il ajoute le nouveau ._locked extension (par exemple, 1.pdf._locked) et crée un fichier nommé how_to_decrypt.hta après avoir réussi. Ce fichier contient des instructions avec des étapes sur ce que les victimes doivent faire pour déchiffrer leurs données. On dit que toutes les informations critiques, telles que les documents, les bases de données, les sauvegardes locales, etc. ont été cryptées et divulguées. Les cybercriminels mentionnent également que le décryptage des fichiers est impossible sans leur implication directe. En outre, il est mentionné que les données de ceux qui refusent de collaborer avec des cybercriminels seront vendues à des personnalités potentiellement intéressées par son abus. Pour éviter tout cela, les acteurs de la menace guident les victimes pour qu'elles ouvrent une page de décryptage via le navigateur TOR et contactent les développeurs de ransomwares.

Bazek est une infection virale qui présente toutes les caractéristiques inhérentes aux rançongiciels. En termes simples, il crypte l'accès aux données (à l'aide d'algorithmes AES-256) et demande aux victimes de contacter les cybercriminels afin d'obtenir une clé de décryptage spéciale. Lors du chiffrement, le virus attribue également le nouveau .bazek extension à chaque fichier ciblé. Pour illustrer, un fichier nommé 1.pdf va changer pour 1.pdf.bazek et perdre également son icône d'origine. Selon la version de Bazek Ransomware qui a attaqué l'ordinateur, il créera soit une note textuelle appelée README.txt ou afficher une fenêtre contextuelle avec des instructions de décryptage similaires.

Aussi connu sous le nom de Sullivan, RansomBoggs est une infection ransomware conçue pour crypter les données et exiger ensuite un paiement pour le décryptage. Des recherches récentes ont montré que ce virus a eu de nombreuses attaques contre diverses organisations placées en Ukraine. Pendant le chiffrement, RansomBoggs renomme tous les fichiers ciblés avec le .chsch extension. Par exemple, un fichier intitulé à l'origine comme 1.pdf va changer pour 1.pdf.chsch et ne deviennent plus accessibles. Suite à cela, le ransomware crée également sa propre note (SullivanDecryptsYourFiles.txt) avec des instructions de décryptage.

SEX3 est un virus informatique classé comme rançongiciel. En outre, il a été découvert qu'il s'agissait d'une nouvelle version d'un autre crypteur de fichiers appelé SATANA Rançongiciels. Un logiciel de ce type est développé pour crypter des données potentiellement précieuses et demander aux propriétaires de fichiers de payer pour leur décryptage. Lors de l'exécution du cryptage, SEX3 Ransomware est programmé pour modifier les fichiers ciblés avec le .SEX3 extension. Il s'agit simplement d'un changement visuel pour mettre en évidence les données bloquées en plus d'un cryptage réussi. Après cela, le virus modifie les fonds d'écran du bureau et crée également une note de texte appelée !satana!.txt qui contient de courtes instructions sur la façon de déverrouiller l'accès aux fichiers.

Onelock est une infection par ransomware développée par la famille des ransomwares Medusa. Son but est de crypter l'accès à des données potentiellement importantes (à l'aide des algorithmes de cryptage RSA et AES) et d'extorquer de l'argent aux victimes pour un décryptage complet. Tout en rendant les fichiers inaccessibles, le virus ajoute le nouveau .onelock extension, ce qui ferait un fichier comme 1.pdf changer en 1.pdf.onelock et réinitialiser son icône d'origine. Le même schéma s'applique aux autres fichiers ciblés par l'infection. Une fois terminé, Onelock crée le how_to_back_files.html fichier contenant les instructions de décryptage. Dans l'ensemble, on dit que les développeurs de rançongiciels sont les seuls personnages capables de décrypter les données des victimes. Pour cela, les victimes sont donc invitées à contacter les cybercriminels à l'aide d'un lien de discussion dans le navigateur Tor (ou par e-mail) et à payer un certain montant de rançon.