Ransomware

SEX3 est un virus informatique classé comme rançongiciel. En outre, il a été découvert qu'il s'agissait d'une nouvelle version d'un autre crypteur de fichiers appelé SATANA Rançongiciels. Un logiciel de ce type est développé pour crypter des données potentiellement précieuses et demander aux propriétaires de fichiers de payer pour leur décryptage. Lors de l'exécution du cryptage, SEX3 Ransomware est programmé pour modifier les fichiers ciblés avec le .SEX3 extension. Il s'agit simplement d'un changement visuel pour mettre en évidence les données bloquées en plus d'un cryptage réussi. Après cela, le virus modifie les fonds d'écran du bureau et crée également une note de texte appelée !satana!.txt qui contient de courtes instructions sur la façon de déverrouiller l'accès aux fichiers.

Onelock est une infection par ransomware développée par la famille des ransomwares Medusa. Son but est de crypter l'accès à des données potentiellement importantes (à l'aide des algorithmes de cryptage RSA et AES) et d'extorquer de l'argent aux victimes pour un décryptage complet. Tout en rendant les fichiers inaccessibles, le virus ajoute le nouveau .onelock extension, ce qui ferait un fichier comme 1.pdf changer en 1.pdf.onelock et réinitialiser son icône d'origine. Le même schéma s'applique aux autres fichiers ciblés par l'infection. Une fois terminé, Onelock crée le how_to_back_files.html fichier contenant les instructions de décryptage. Dans l'ensemble, on dit que les développeurs de rançongiciels sont les seuls personnages capables de décrypter les données des victimes. Pour cela, les victimes sont donc invitées à contacter les cybercriminels à l'aide d'un lien de discussion dans le navigateur Tor (ou par e-mail) et à payer un certain montant de rançon.

Alpha865qqz est un nouveau chiffreur de fichiers qui appartient à la famille des rançongiciels Maoloa. Lors d'une enquête sur ce logiciel malveillant, il a été constaté qu'Alpha865qqz imite certains traits d'une autre infection appelée GlobeImposter. Par exemple, lors du chiffrement, il ajoute le .Globeimposter-Alpha865qqz extension aux fichiers ciblés. Pour illustrer, 1.pdf va changer pour 1.pdf.Globeimposter-Alpha865qqz, 1.png à 1.png.Globeimposter-Alpha865qqz, et ainsi de suite. Après avoir terminé le processus de cryptage, Alpha865qqz crée un fichier exécutable appelé HOW TO BACK YOUR FILES.exe qui répertorie les instructions de décryptage. Certaines autres versions d'Alpha865qqz ont créé le HOW TO BACK YOUR FILES.txt fichier texte à la place, et a également changé les icônes d'origine des fichiers.

Faust est une nouvelle variante de ransomware développée par le groupe de malware Phobos. Son but est de crypter des données potentiellement importantes et de faire payer les victimes pour leur décryptage. En plus du cryptage, le virus modifie également la façon dont les fichiers apparaissent - par exemple, un fichier nommé à l'origine 1.pdf va changer pour quelque chose comme 1.pdf.id[9ECFA84E-3421].[gardex_recofast@zohomail.eu].faust et réinitialiser son icône d'origine après le cryptage. Cette nouvelle chaîne de caractères ajoutée par le rançongiciel se compose de l'identifiant unique de la victime, de l'adresse e-mail des cybercriminels et du .faust extension. Suite à la réussite du cryptage, Faust Ransomware génère une fenêtre contextuelle (info.hta) et fichier texte (info.txt) contenant des instructions de déchiffrement.

AXLocker est un virus ransomware qui crypte les données personnelles (documents, photos, bases de données, etc.) et demande aux victimes de payer de l'argent pour son décryptage. Contrairement à d'autres infections de rançongiciels qui renomment généralement les données cryptées (en ajoutant de nouvelles extensions), AXLocker laisse les fichiers dans leur apparence d'origine. Malgré cela, les victimes ne pourront pas accéder à leurs données et le virus affichera alors une fenêtre contextuelle avec les demandes liées au décryptage et le temps alloué pour y répondre.

Dharma est un groupe de logiciels malveillants notoire qui distribue un certain nombre d'infections de rançongiciels haut de gamme. Zxcvb est l'une des versions les plus récentes publiées par les cybercriminels. Comme ses précurseurs, le virus crypte l'accès aux fichiers stockés dans le système et modifie leur apparence visuelle (en ajoutant l'identifiant de la victime, l'adresse e-mail paymoney@onionmail.org et le .zxcvb extension). Par exemple, un fichier initialement nommé 1.pdf va changer pour quelque chose comme 1.pdf.id-9ECFA84E.[paymoney@onionmail.org].zxcvb et ainsi de suite avec d'autres données affectées. Une fois que Zxcvb prive l'accès aux fichiers, il crée une note exigeant une rançon appelée FILES ENCRYPTED.txt et affiche également une fenêtre contextuelle.

D0ggerofficial est un virus rançongiciel qui exécute le cryptage des données à l'aide des algorithmes AES-256. Ce faisant, il renomme également tous les fichiers ciblés (documents, vidéos, images, etc.) avec le .locked extension. Par exemple, un fichier initialement nommé 1.pdf va changer pour 1.pdf.locked et réinitialiser son icône d'origine. Suite à cela, D0ggerofficial affiche une fenêtre contextuelle avec des instructions de décryptage. Les cybercriminels disent que les victimes doivent effectuer un paiement de 0.25 BTC (environ 4,200 XNUMX) afin de récupérer une clé de décryptage spéciale sur le serveur distant des cybercriminels. Les victimes peuvent également obtenir des informations plus détaillées en contactant les agresseurs via leur chaîne Telegram (@d0ggerofficial).

Eyedocx est une infection ransomware qui crypte l'accès aux données stockées dans le système et présente des instructions pour faire payer les victimes pour le décryptage. Une fois le processus de cryptage mis en route, tous les fichiers changeront selon cet exemple - nommé à l'origine 1.pdf va changer pour 1.pdf.encrypted et réinitialiser son icône. L'attribution d'extensions aléatoires est un effet courant de nombreuses infections de rançongiciels, conçues pour mettre en évidence les données bloquées. La .encrypted extension est assez générique et peut donc également être utilisée par d'autres variantes de ransomware. Une fois qu'Eyedocx a fini d'exécuter le chiffrement, il crée une note textuelle (readme.infomation) avec des instructions exigeant une rançon.