Ransomware

Venus est un virus de type ransomware qui a été récemment découvert par un chercheur de logiciels malveillants appelé S!Ri. Sa fonction principale est le cryptage des fichiers et également l'extorsion d'argent pour le décryptage des victimes. Lors du chiffrement des données avec des algorithmes cryptographiques, tous les fichiers concernés sont modifiés avec le .venus extension. Pour illustrer, si 1.pdf finit par être affecté par l'infection, il deviendra 1.pdf.venus également et réinitialiser son icône d'origine. Après cela, les victimes se familiarisent avec les instructions de décryptage à l'intérieur du README.txt remarque. Les fonds d'écran sont également remplacés.

WildFire Locker est un programme malveillant classé comme rançongiciel. Il fonctionne en restreignant l'accès aux données (avec des algorithmes de cryptage AES-256 CBC) puis en exigeant de l'argent des victimes. Au cours du processus de cryptage des données, tous les fichiers ciblés acquièrent ce format long et écrit #WildFire_Locker#[original file name]##.[original extension].wflx. Les cybercriminels le font pour mettre en évidence le cryptage et faire en sorte que les victimes le repèrent. Par exemple, un fichier précédemment nommé documents.pdf deviendra donc quelque chose comme #WildFire_Locker#documents##.pdf.wflx et réinitialiser également son icône d'origine. Suite à cela, le virus crée trois fichiers avec les extensions .txt, .html et .bmp fournissant des informations pertinentes sur la procédure de décryptage. Les instructions les plus détaillées sont données à l'intérieur du HOW_TO_UNLOCK_FILES_README_(identifiant unique de la victime).txt note de texte.

PLAY est un virus de type ransomware qui exécute le cryptage des données importantes et extorque de l'argent aux victimes. Tout en rendant les fichiers inaccessibles, il attribue le .PLAY extension et crée également une note de texte appelée ReadMe.txt. Par exemple, un fichier précédemment intitulé 1.pdf va changer pour 1.pdf.PLAY et réinitialisez son icône après le cryptage. Depuis lors, les victimes perdent le contrôle de leurs données et doivent lire les instructions sur leur récupération dans la note textuelle créée. Il est courant que les infections par ransomware soient distribuées via des techniques de phishing. Un virus peut être déguisé en un fichier d'apparence légitime (par exemple, Word, Excel, PDF, EXE, JavaScript, RAR, ZIP, etc.) et être envoyé à l'intérieur d'une lettre de spam par e-mail. Une telle lettre peut présenter des informations expliquant "l'importance" d'ouvrir des fichiers joints ou des liens.

Ransomcrow est une infection ransomware conçue pour crypter des données précieuses et faire chanter les victimes afin qu'elles paient de l'argent pour leur récupération. Lors du cryptage, il attribue le .encrypted extension, qui est générique pour de nombreux chiffreurs de fichiers. Pour illustrer, un fichier initialement nommé 1.pdf va changer pour 1.pdf.encrypted et déposez également son icône. Après cela, le virus crée une note de texte appelée readme.txt et remplace également les fonds d'écran. Les informations contenues dans la note générée sont destinées à guider les victimes tout au long du processus de récupération. On dit qu'un paiement équivalent à 50 € en Bitcoins est nécessaire pour le transfert pour obtenir des outils de décryptage spéciaux et restituer les données. Les victimes peuvent également contacter les escrocs pour une communication en personne via l'adresse e-mail indiquée (ransomcrow@proton.me). En règle générale, le décryptage sans l'aide de cybercriminels est très complexe et même impossible - cela peut être le contraire s'il existe des bogues ou des défauts atténuant les interférences de tiers.

Payt est le nom d'une infection ransomware qui crypte les données stockées dans le système et fait chanter les victimes pour qu'elles paient de l'argent pour leur retour. Pour ce faire, il ajoute de nouveaux noms de fichiers (comprenant l'identifiant unique de la victime, l'e-mail des cybercriminels et .Payt or .payt extension). Par exemple, voici comment un fichier image infecté par Payt Ransomware apparaîtra probablement - 1.png.[MJ-YK7364058912](wesleypeyt@tutanota.com).Payt. Après cela, un billet exigeant de l'argent appelé ReadthisforDecode.txt est généré sur le bureau. Comme indiqué dans ce message, les victimes doivent écrire un e-mail aux adresses wesleypeyt@tutanota.com ou wesleypeyt@gmail.com et exprimer leur intérêt pour le décryptage des données. Il est également possible d'envoyer un fichier de test et de le faire décrypter gratuitement - de cette façon, les cybercriminels cherchent à montrer que leur décryptage fonctionne réellement et qu'on peut s'y fier.

World2022decoding est une infection ransomware récente qui a été repérée en train de crypter les données stockées sur l'appareil et de faire chanter les victimes pour qu'elles paient de l'argent. Pendant le cryptage, tous les fichiers concernés sont ajoutés avec l'identifiant personnel de la victime, et le .world2022decoding rallonge également. En conséquence, il acquiert un nouveau look similaire à celui-ci - à partir de précédemment non infecté 1.png à maintenant restreint 1.png.[9222911A].world2022decoding. Ce n'est qu'un exemple et cela peut arriver à n'importe quel élément de données, en particulier les documents et les bases de données. Les cybercriminels créent également une note textuelle appelée WE CAN RECOVER YOUR DATA.MHT qui implique des instructions sur la façon de retourner les fichiers.

Arai est un programme malveillant qui cible les utilisateurs professionnels pour crypter les données commerciales et demander aux victimes de payer de l'argent pour leur retour. Tout en limitant l'accès aux données, le virus altère les fichiers avec le .araicrypt extension, conduisant également à des icônes vides. Par exemple, un fichier comme 1.pdf changerait en 1.pdf.araicrypt et perdre son icône d'origine. Après cela, les données deviennent inaccessibles et ne sont plus utilisables. L'étape suivante d'Arai consiste à créer une note textuelle appelée READ_TO_RESTORE_YOUR_FILES.txt. Cette note donne des éclaircissements sur ce qui s'est passé et comment les victimes peuvent s'en remettre. En bref, les cybercriminels informent que toutes les données importantes (bases de données, données clients, etc.) ont été copiées et que les sauvegardes locales ont été supprimées. Il est également dit qu'en cas de non-respect des instructions fournies, les victimes perdront une chance de récupérer les données et subiront également des souffrances à la fois financières et réputationnelles - en raison de la publication potentielle de données qui pourrait s'ensuivre par la suite. Sinon, les victimes doivent contacter les escrocs en utilisant l'une des adresses e-mail fournies et payer le décryptage (soi-disant cher et en crypto-monnaie). Dans un tel cas, les extorqueurs promettent d'effacer les données collectées et donc de ne pas les publier.

Kriptor est le nom d'un logiciel malveillant classé comme rançongiciel. Son objectif principal réside dans le cryptage des fichiers personnels et l'extraction de l'argent des victimes. Le virus commence par restreindre l'accès aux données précieuses (photos, vidéos, documents, bases de données, etc.). Il change également tous les noms de fichiers affectés avec le .Kriptor extension pour mettre en évidence le cryptage. Par exemple, un fichier précédemment intitulé comme 1.pdf va changer pour 1.pdf.Kriptor et réinitialiser également son icône. Une fois cette partie terminée, Kriptor crée une note textuelle (read_it.txt) conçu pour expliquer les instructions de décryptage. Les fonds d'écran sont également remplacés. Il est dit que les victimes ont la possibilité de contacter les cybercriminels en utilisant l'une des adresses e-mail suivantes - leljicok@gmail.com ou kkizuko@yandex.com et de payer pour le décryptage en Bitcoins. Le prix exact reste secret et doit être révélé après avoir réussi à contacter les escrocs. Les développeurs de ransomwares proposent également de tester le décryptage gratuit avant de payer les frais de décryptage - les utilisateurs sont autorisés à envoyer jusqu'à 3 fichiers cryptés et à les rendre entièrement accessibles en retour. De cette façon, les cybercriminels tentent de créer une bulle de confiance supplémentaire, ce qui rend les victimes plus susceptibles de payer pour le décryptage.