Ransomware

JiangLocker est une infection ransomware récente. Comme d'autres logiciels malveillants de ce type, il est conçu pour restreindre l'accès à des éléments de données potentiellement importants en exécutant un cryptage sécurisé. Au cours de ce processus, le virus attribue à toutes les données bloquées le .jiang extension. Pour illustrer, un fichier précédemment nommé 1.pdf va changer pour 1.pdf.jiang et réinitialiser son icône d'origine. Ensuite, JiangLocker modifie les fonds d'écran du bureau, affiche une fenêtre contextuelle et crée une note de texte appelée read.ini. La note textuelle duplique les informations données dans la fenêtre contextuelle.

Cyberone est une infection ransomware assez récente qui exécute le cryptage des données et demande aux victimes de payer 1 Bitcoin pour son décryptage. Tout en bloquant l'accès aux données stockées dans le système, le virus attribue ses propres .cyberone extension, rendant toutes les icônes de fichiers vides. Par exemple, un fichier initialement nommé 1.pdf va changer pour 1.pdf.cyberone et ne deviennent plus accessibles. Notez que la plupart des versions de Cyberone que nous avons observées peut être déchiffré gratuitement à l'aide d'un outil de décryptage publié par Avast. Vous trouverez plus d'informations à ce sujet dans l'article ci-dessous. Après avoir terminé le cryptage, le dernier élément du dernier à commencer à faire chanter les victimes est la création de ___RECOVER__FILES__.cyberone.txt et l'affichage d'une fenêtre contextuelle contenant des directives de décryptage rédigées par des cybercriminels.

Diamond Rançongiciel est une infection malveillante conçue pour crypter les données stockées dans le système et faire chanter les victimes afin qu'elles paient la rançon pour leur retour. Lors de l'exécution du chiffrement, le virus renomme tous les fichiers ciblés avec le .diamond extension. Il s'agit simplement d'un changement visuel destiné à mettre en évidence le fait que le système des utilisateurs a été infecté. Suite à cela, les développeurs de rançongiciels créent HOW TO RECOVER ENCRYPTED FILES.TXT - un fichier texte contenant les instructions de décryptage.

Wizard est un virus ransomware qui crypte les données à l'aide d'algorithmes AES-256 pour faire chanter les utilisateurs afin qu'ils paient la rançon. Tout en limitant l'accès aux données, tous les fichiers concernés sont renommés avec le .wizard extension. Par exemple, un fichier précédemment intitulé 1.pdf va changer pour 1.pdf.wizard et réinitialiser son icône d'origine. Suite à cela, il a été observé que le virus crée un texte appelé decrypt_instructions.txt sur le bureau. Cette note contient des informations sur ce que les victimes doivent faire pour restituer leurs fichiers cryptés.

DataBankasi est le nom d'un programme de ransomware conçu pour extorquer de l'argent aux victimes du cryptage des données. Une fois le cryptage effectué, tous les fichiers concernés sont modifiés avec le .databankasi l'extension n'est plus accessible. Pour l'illustrer par un exemple - un fichier précédemment nommé 1.pdf va changer pour 1.pdf.databankasi et perdre également son icône d'origine. Après un blocage réussi des données, le virus crée un fichier texte contenant des instructions de déchiffrement (---BILGILENDIRME----NOTU---.txt). Le texte des instructions de décryptage est présenté en langue turque.

TeamDarkAnon est une infection ransomware qui crypte les données stockées dans le système et extorque de l'argent aux victimes pour leur décryptage. Après avoir réussi à pénétrer le système, TeamDarkAnon renomme tous les fichiers cryptés avec le .anon extension. Par exemple, un fichier de travail précédemment appelé 1.pdf va changer pour 1.pdf.anon et réinitialiser son icône d'origine. Une fois le cryptage des données terminé, le virus modifie les fonds d'écran du bureau et crée un fichier texte nommé HOW TO RECOVER ENCRYPTED FILES.TXT pour illustrer les directives de déchiffrement.

Cyber_Puffin est presque identique à une autre infection ransomware appelée Exploit6. Ainsi, il est très probable que ces deux infections soient promues par le même groupe de développeurs. De même, Cyber_Puffin crypte les fichiers personnels et fait chanter les victimes pour qu'elles paient de l'argent pour leur retour. Tout en limitant l'accès aux données, le virus attribue le .Cyber_Puffin extension à tous les fichiers concernés. Par exemple, un fichier précédemment nommé 1.pdf connaîtra un changement pour 1.pdf.Cyber_Puffin et ne deviennent plus accessibles. Comme pour Exploit6 Ransomware, la variante Cyber_Puffin crée un fichier texte qui affiche les directives de décryptage après avoir réussi le cryptage. De plus, les fonds d'écran sont également remplacés.

Exploit6 est une infection ransomware qui crypte les fichiers personnels et fait chanter les victimes pour qu'elles paient de l'argent pour leur retour. Pendant le processus de cryptage, le crypteur de fichiers modifie l'apparence du fichier en ajoutant le .exploit6 extension. Pour illustrer, un fichier précédemment intitulé 1.pdf se transformera en 1.pdf.exploit6 et ne deviennent plus accessibles. Comme dans d'autres logiciels malveillants de ce type, les développeurs créent un fichier texte (READMI.txt) pour expliquer les instructions de déchiffrement. Comme indiqué dans cette note, les victimes doivent établir un contact avec les cybercriminels en envoyant un message à leur compte Telegram (@root_exploit6). Bien qu'il n'y ait pas d'autres informations sur le décryptage dans la note, les développeurs les donneront plus probablement après les avoir contactés. En règle générale, il n'est pas recommandé de collaborer avec des escrocs et de leur verser de l'argent - c'est parce qu'il y a une chance qu'ils vous trompent et ne donnent aucun outil/code de décryptage même après avoir effectué le paiement.