Ransomware

Si vos fichiers ne sont plus accessibles et apparaissent maintenant avec le nouveau .MEOW rallonge (alors .POUTINE, .KREMLIN ainsi que .RUSSIE extensions), alors vous êtes probablement infecté par Meow Ransomware (aka MeowCorp2022 Rançongiciel ainsi que ContiStolen Ransomware). Ce crypteur de fichiers bloque l'accès à pratiquement tous les types de données stockées dans le système à l'aide de l'algorithme ChaCha20 et demande aux victimes d'établir un contact avec ses développeurs (vraisemblablement pour payer le décryptage). En outre, il a également été déterminé que ce rançongiciel fonctionne sur le code volé à un autre crypteur de fichiers populaire nommé Conti-2 Ransomware. Des informations sur la façon de contacter les escrocs peuvent être trouvées dans une note textuelle appelée readme.txt, que le virus dépose dans chaque dossier contenant des fichiers cryptés.

Loplup est un virus de cryptage de fichiers dont il a été déterminé qu'il faisait partie du ZEPPELIN famille des rançongiciels. Tout en limitant l'accès aux données stockées dans le système, il renomme les fichiers attaqués en ajoutant le .loplup.[victim's_ID] extension. Cela signifie qu'un fichier précédemment appelé 1.pdf va changer pour quelque chose comme 1.pdf.loplup.312-A1A-FD7. Notez que l'ID de la victime est variable, il peut donc être différent dans votre cas. Suite au chiffrement réussi des données, Loplup crée un fichier texte (!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT) qui contient des instructions de déchiffrement.

FirstKill est une infection ransomware conçue pour crypter les données des utilisateurs et faire chanter les victimes afin qu'elles paient une rançon financière pour sa récupération. Il utilise des algorithmes de qualité militaire AES et RSA pour exécuter un cryptage fort et empêcher les victimes d'accéder à nouveau à leurs fichiers. Au cours de ce processus, FirstKill renomme également tous les fichiers ciblés avec le .FirstKill extension et réinitialise leurs icônes d'origine à vide. Par exemple, un fichier précédemment intact comme 1.pdf va changer pour 1.pdf.FirstKill et ne deviennent plus accessibles. Suite à cela, le virus crée une note de texte appelée CO_SIĘ_STAŁO.html qui contient des instructions pour déchiffrer les données.

ChinaHelper est un virus rançongiciel conçu pour crypter les données personnelles et faire chanter les victimes pour qu'elles paient la rançon. Tout en limitant l'accès aux données à l'aide des algorithmes AES-256 et RSA-2048, le virus attribue le .cnh extension de sorte qu'un fichier comme 1.pdf se transforme en 1.pdf.cnh, par exemple. La prochaine chose que ChinaHelper fait est de créer une note de texte appelée README.txt. Il existe également une autre variante repérée dans une distribution ultérieure, qui attribuait .cnhelp or .charm extension aux fichiers et créé le HOW_TO_RETURN_FILES.txt fichier à la place.

Bom est le nom d'une infection ransomware. Les logiciels malveillants de cette catégorie cryptent les données stockées dans le système et demandent aux victimes de payer de l'argent pour leur retour. Cette variante de ransomware est également un sous-produit du famille VoidCrypt. Lors du chiffrement, le virus renomme tous les fichiers ciblés selon cet exemple - 1.png.[tormented.soul@tuta.io][MJ-KB3756421908].bom. Vos fichiers renommés peuvent légèrement varier (par exemple, une chaîne de caractères différente), mais la base restera la même. Après avoir réussi à restreindre l'accès aux données, le rançongiciel crée une note textuelle appelée Scratch - pour fournir des directives de déchiffrement.

DASHA Rançongiciel est une nouvelle variante d'Eternity Ransomware. Ce logiciel malveillant est conçu pour crypter les données stockées dans le système et exiger de l'argent pour son décryptage. Tout en restreignant l'accès aux fichiers (par exemple, photos, vidéos, documents, bases de données, etc.), le virus modifie l'apparence des fichiers avec le .ecrp extension. Par exemple, un fichier précédemment nommé 1.pdf changera donc pour 1.pdf.ecrp et ne deviennent plus accessibles. Une fois que ce processus est terminé et que tous les fichiers ciblés sont finalement renommés, DASHA remplace les fonds d'écran du bureau et affiche une fenêtre contextuelle avec des instructions de rançon.

Loki Locker est le nom d'un virus ransomware conçu pour extorquer de l'argent aux victimes en exécutant un cryptage fort des données. Il utilise une combinaison d'algorithmes AES-256 et RSA-2048 et modifie également les noms des données cryptées selon ce modèle - [][]original_file.Loki. Par exemple, un fichier précédemment nommé 1.pdf va changer pour [DecNow@TutaMail.Com][C279F237]1.pdf.Loki et ne deviennent plus accessibles. Il convient de noter qu'il existe également des versions plus récentes de Loki Locker, qui renomment les données avec .Rainman, .Adair, .Boresh, .PayForKeyou .Spyro extensions. Suite au blocage réussi des fichiers, le virus crée deux fichiers (Restore-My-Files.txt ainsi que info.hta) avec des instructions similaires exigeant une rançon. De plus, Loki Locker remplace également les fonds d'écran du bureau pour afficher de brèves étapes sur ce qui doit être fait.

Étant une nouvelle variante de PGPCoder Ransomware, LOL! est également conçu pour chiffrer les données stockées dans le système à l'aide d'algorithmes asymétriques RSA et AES. De tels algorithmes sont souvent puissants, ce qui rend le décryptage manuel presque impossible, cependant, cela doit encore être discuté en détail ci-dessous. Lors du cryptage, le virus appose également son .LOL! extension à chaque fichier affecté. Par exemple, si c'était 1.pdf attaqué par le chiffreur, il deviendrait 1.pdf.LOL! et deviennent inutilisables. Dès que tous les fichiers ciblés se retrouvent en accès restreint, le virus abandonne le get data.txt fichier dans chaque dossier contenant des données cryptées (y compris le bureau). Ce fichier est destiné à expliquer ce qui s'est passé et, surtout, à informer les victimes tout au long du processus de récupération.