Ransomware

Rs-jon est une infection ransomware qui crypte les données stockées dans le système et demande aux victimes de payer 50 $ pour son décryptage. Tout en limitant l'accès aux fichiers, il attribue le .rsjon extension. Par exemple, un fichier précédemment nommé 1.pdf va changer pour 1.pdf.rsjon et réinitialiser son icône d'origine. Après un cryptage de fichier réussi, le virus modifie les fonds d'écran du bureau et demande aux victimes de suivre les instructions à l'intérieur du READ_ME_PLZ.txt note.

Lumino_Ransom est une infection ransomware conçue pour crypter l'accès aux données. Lors du chiffrement, il ajoute le .lumino_locked extension à toutes les données bloquées. Par exemple, un fichier précédemment nommé 1.pdf va changer pour 1.pdf.lumino_locked et ne deviennent plus accessibles. En outre, la variante recherchée de Lumino_Ransom Ransomware a également créé quatre cents fichiers complètement vides sur le bureau (nommés d'après Lumine1 à Lumine400 dans un ordre séquentiel). Immédiatement après un cryptage réussi, le ransomware a affiché une note sans titre avec des instructions apparaissant progressivement (en anglais et en français).

Basé sur un autre ransomware appelé Jigsaw, Roblox Ransomware est un programme malveillant qui fonctionne comme un crypteur de fichiers. En d'autres termes, il exécute le cryptage des données stockées dans le système et encourage les victimes à effectuer certaines actions. Notez que ce virus n'a rien à voir avec le jeu vidéo en ligne officiel Roblox, malgré ses références. Pendant que le cryptage est en cours, le crypteur de fichiers attribue le .Encrypted_Roblox@mail.com extension, ce qui rend les fichiers plus accessibles. Une autre variante de ransomware a également été repérée en ajoutant le .fun_VB extension à la place. Par exemple, un fichier précédemment nommé 1.pdf va changer pour 1.pdf.Encrypted_Roblox@mail.com or 1.pdf.fun_VB et réinitialiser son icône d'origine. Après avoir réussi à restreindre l'accès aux données, Roblox Ransomware affiche une fenêtre contextuelle exécutable (Jigsaw.exe) avec des instructions de décryptage.

CMLOCKER est une infection ransomware qui crypte les données stockées dans le système avec des algorithmes cryptographiques RSA et ajoute le nouveau .CMLOCKER extension. Par exemple, un fichier précédemment nommé 1.pdf va changer pour 1.pdf.CMLOCKER et réinitialiser son icône d'origine. Une fois que tous les fichiers sont à accès restreint, le virus crée une note textuelle appelée HELP_DECRYPT_YOUR_FILES.txt pour faire chanter les victimes afin qu'elles paient de l'argent pour le décryptage des données.

HARDBIT est un virus rançongiciel qui cible les utilisateurs de Windows pour crypter les données stockées dans le système et les victimes de chantage pour qu'elles paient des frais de décryptage et de non-divulgation des données exfiltrées. Tout en rendant les fichiers inaccessibles, le crypteur de fichiers attribue quelques modifications visuelles pour mettre en évidence les données bloquées. Par exemple, un fichier initialement nommé 1.pdf va changer pour quelque chose comme 1.pdf.[id-GSD557NO60].[boos@keemail.me].hardbit à la fin du cryptage. Cette chaîne de symboles nouvellement attribuée comprend l'identifiant de la victime, l'adresse e-mail des cybercriminels et .hardbit extension. Immédiatement après la fin du processus de cryptage, HARDBIT change les fonds d'écran du bureau et dépose deux fichiers expliquant les instructions de décryptage - Help_me_for_Decrypt.hta ainsi que How To Restore Your Files.txt.

FBI Ransomware est un crypteur de fichiers qui restreint l'accès aux données et fait chanter les victimes pour qu'elles paient 250 $ pour la récupération. Lors de l'exécution du chiffrement, le virus renomme tous les fichiers concernés en ajoutant le .fbi extension. Par exemple, un fichier comme 1.pdf sera renommé en 1.pdf.fbi et réinitialiser son icône d'origine à la suite de ce changement. Après cela, le programme malveillant crée trois notes totalement vides (readme.txt, LOCKEDBYFBI.htaet decryptfiles.html), qui ne contiennent aucune information. Le message réel est affiché dans la fenêtre plein écran insoluble, qui s'ouvre automatiquement une fois le cryptage terminé.

JiangLocker est une infection ransomware récente. Comme d'autres logiciels malveillants de ce type, il est conçu pour restreindre l'accès à des éléments de données potentiellement importants en exécutant un cryptage sécurisé. Au cours de ce processus, le virus attribue à toutes les données bloquées le .jiang extension. Pour illustrer, un fichier précédemment nommé 1.pdf va changer pour 1.pdf.jiang et réinitialiser son icône d'origine. Ensuite, JiangLocker modifie les fonds d'écran du bureau, affiche une fenêtre contextuelle et crée une note de texte appelée read.ini. La note textuelle duplique les informations données dans la fenêtre contextuelle.

Cyberone est une infection ransomware assez récente qui exécute le cryptage des données et demande aux victimes de payer 1 Bitcoin pour son décryptage. Tout en bloquant l'accès aux données stockées dans le système, le virus attribue ses propres .cyberone extension, rendant toutes les icônes de fichiers vides. Par exemple, un fichier initialement nommé 1.pdf va changer pour 1.pdf.cyberone et ne deviennent plus accessibles. Notez que la plupart des versions de Cyberone que nous avons observées peut être déchiffré gratuitement à l'aide d'un outil de décryptage publié par Avast. Vous trouverez plus d'informations à ce sujet dans l'article ci-dessous. Après avoir terminé le cryptage, le dernier élément du dernier à commencer à faire chanter les victimes est la création de ___RECOVER__FILES__.cyberone.txt et l'affichage d'une fenêtre contextuelle contenant des directives de décryptage rédigées par des cybercriminels.