Ransomware

Proton est une infection par ransomware. Le but de ce virus est d’exécuter le cryptage de données potentiellement critiques, puis d’exiger de l’argent pour leur décryptage complet. Ce faisant, Proton modifie également visuellement les fichiers - un fichier affecté avec acquisition kigatsu@tutanota.com adresse e-mail, identifiant de la victime et .Proton or .kigatsu extension aux fichiers cryptés. Par exemple, un fichier comme 1.pdf se transformera pour ressembler à quelque chose comme 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Suite à ce changement, les victimes ne pourront plus accéder à leur dossier, quelles que soient les modifications apportées. Après cela, le virus laisse tomber le README.txt note de texte, qui contient des instructions de décryptage. Les données des victimes auraient été cryptées (à l'aide des algorithmes AES et ECC) et volées par des cybercriminels. Le mot « volé » suggère probablement que les données cryptées ont été copiées sur les serveurs des cybercriminels et peuvent être utilisées à tout moment à moins que la rançon ne soit payée. Les acteurs malveillants encouragent leurs victimes à les contacter via Telegram ou par e-mail et à acheter le service de décryptage. De plus, les victimes sont également autorisées à envoyer un fichier (moins de 1 Mo) et à le décrypter gratuitement. De cette façon, les cybercriminels démontrent leur fiabilité ainsi que leur capacité à restituer l'accès aux données bloquées. À la fin du message de rançon, les extorsionnistes émettent quelques avertissements concernant les risques liés à une tentative de décryptage de fichiers sans l'aide des développeurs de ransomwares.

Reload Ransomware est une forme de malware qui cible les individus et les organisations en chiffrant leurs fichiers et en exigeant une rançon pour les clés de décryptage. Cela fait partie de Makop Ransomware famille. La demande de rançon commence généralement par une déclaration selon laquelle tous les fichiers ont été cryptés et ont désormais le .reload extension qui leur est annexée. Le ransomware utilise des algorithmes de cryptage robustes pour verrouiller les fichiers, les rendant inaccessibles sans la clé de décryptage correspondante. Le type spécifique de cryptage utilisé par Reload Ransomware n'est pas explicitement mentionné dans les sources fournies, mais le ransomware utilise généralement le cryptage AES (Advanced Encryption Standard) ou RSA, qui sont à la fois hautement sécurisés et difficiles à déchiffrer sans la clé de déchiffrement unique. La demande de rançon créée par Reload Ransomware est généralement un fichier texte (+README-WARNING+.txt) qui est déposé dans des dossiers contenant des fichiers cryptés. Cette note indique clairement que les fichiers ont été cryptés et fournit des instructions sur la façon de payer la rançon pour récupérer les fichiers. La note peut inclure des détails tels que le montant de la rançon demandée, généralement en cryptomonnaie comme Bitcoin, pour garantir l'anonymat de la transaction.

CryptNet Ransomware est un type de malware qui crypte les fichiers sur les ordinateurs infectés et exige le paiement d’une rançon pour la clé de déchiffrement. Il s’agit d’un nouveau ransomware-as-a-service (RaaS) apparu en avril 2023 et connu pour son efficacité en matière de cryptage de fichiers. Le ransomware est écrit dans le langage de programmation .NET et est masqué à l’aide de .NET Reactor pour échapper à la détection. Lors du cryptage des fichiers, CryptNet ajoute une extension aléatoire de cinq caractères aux noms de fichiers d'origine, les rendant facilement identifiables comme étant compromis par ce ransomware spécifique. CryptNet utilise une combinaison d'algorithmes de cryptage AES 256 bits en mode CBC et RSA 2048 bits pour verrouiller les fichiers. Cette double méthode de cryptage garantit que les fichiers sont cryptés en toute sécurité et ne peuvent pas être déchiffrés sans les clés uniques détenues par les attaquants. Après le cryptage, CryptNet dépose une demande de rançon nommée RESTORE-FILES-[random_string].txt sur le bureau de la victime. La note informe les victimes du cryptage et fournit des instructions sur la manière de payer la rançon pour récupérer les fichiers. Il comprend également un identifiant de décryptage unique et peut proposer un test de décryptage gratuit pour prouver la capacité des attaquants à décrypter les fichiers.

DoNex Ransomware est un type de logiciel malveillant qui entre dans la catégorie des ransomwares, conçus pour crypter les données sur l'ordinateur d'une victime, rendant les fichiers inaccessibles jusqu'à ce qu'une rançon soit payée. Cette variante particulière du ransomware a été identifiée par les chercheurs en sécurité de l'information comme une menace qui crypte les données des utilisateurs et exige un paiement pour la possibilité de décryptage. DoNex ajoute un identifiant de victime unique aux extensions de fichiers cryptés. Par exemple, un fichier nommé myphoto.jpg serait renommé en quelque chose comme myphoto.jpg.5GlA66BK7 après cryptage par DoNex. Bien que les détails spécifiques sur l'algorithme de chiffrement utilisé par DoNex ne soient pas encore connus, les ransomwares utilisent généralement des algorithmes cryptographiques puissants, symétriques ou asymétriques, pour verrouiller les fichiers. DoNex laisse une demande de rançon nommée Readme.[victim's_ID].txt sur l'ordinateur de la victime, qui contient des instructions sur la manière de contacter les attaquants, généralement via un canal de communication spécifique comme Tox Messenger, ainsi que les demandes de paiement.

Nood Ransomware est un logiciel malveillant qui crypte les fichiers sur l'ordinateur d'une victime, les rendant inaccessibles sans clé de décryptage. Cette clé est généralement détenue par les attaquants, qui exigent une rançon en échange de sa libération. Comprendre les mécanismes du ransomware NOOD, ses méthodes d’infection, les spécificités du cryptage qu’il utilise et les possibilités de décryptage est crucial à la fois pour la prévention et la remédiation. Une fois que Nood Ransomware infecte un ordinateur, il crypte les fichiers à l'aide d'algorithmes de cryptage sophistiqués. Les ransomwares de cette nature utilisent généralement un cryptage asymétrique puissant, ce qui rend le décryptage non autorisé extrêmement difficile sans la clé unique détenue par les attaquants. Les fichiers cryptés sont ajoutés avec le .nood extension, signifiant leur inaccessibilité. Une fois le processus de cryptage terminé, Nood Ransomware génère une demande de rançon (_readme.txt), expliquant aux victimes comment payer la rançon pour potentiellement récupérer leurs fichiers. La note comprend généralement des instructions de paiement, exigeant généralement un paiement en Bitcoin, et souligne l'urgence d'effectuer le paiement pour récupérer la clé de déchiffrement.

Duralock Ransomware est un type de logiciel malveillant identifié par les chercheurs en sécurité de l'information comme une menace importante. Il appartient à la famille des ransomwares MedusaLocker et est conçu pour crypter les données sur les ordinateurs infectés, rendant ainsi les fichiers inaccessibles aux utilisateurs. Une fois qu'un ordinateur est infecté, Duralock crypte les fichiers de l'utilisateur et ajoute une extension distinctive, .duralock05, aux noms de fichiers. Cela marque les fichiers comme cryptés et empêche les utilisateurs d'accéder à leur contenu sans la clé de décryptage. Duralock Ransomware crée une demande de rançon nommée HOW_TO_BACK_FILES.html sur l'ordinateur infecté. Cette note contient généralement des instructions destinées à la victime sur la manière de payer une rançon aux attaquants en échange de la clé de déchiffrement nécessaire pour déverrouiller les fichiers cryptés. Cet article présente les méthodes de suppression, les outils de suppression et les moyens possibles de décrypter les fichiers cryptés sans négocier avec des malfaiteurs.

RSA-4096 Ransomware est une variante de la famille de ransomwares Xorist, connue pour crypter les données des victimes et exiger une rançon pour la clé de déchiffrement. Cette souche particulière utilise l'algorithme de chiffrement RSA-4096, qui fait partie du chiffrement asymétrique RSA avec une taille de clé de 4096 bits, ce qui le rend très sécurisé et difficile à déchiffrer. Lorsque le ransomware RSA-4096 chiffre les fichiers, il ajoute le .RSA-4096 extension aux noms de fichiers. Par exemple, un fichier initialement nommé 1.jpg serait renommé en 1.jpg.RSA-4096. Après avoir crypté les fichiers, le ransomware RSA-4096 laisse tomber une demande de rançon intitulée HOW TO DECRYPT FILES.txt sur le bureau de la victime ou dans des répertoires cryptés. Cette note explique que les fichiers ont été cryptés et fournit des instructions sur la façon de payer la rançon pour recevoir la clé de décryptage. Les victimes sont priées de payer 2 BTC (environ 124,000 48 $ au moment de la rédaction) dans les XNUMX heures pour la clé de déchiffrement. Cependant, payer ne garantit pas la récupération des fichiers et la suppression du ransomware ne décrypte pas les fichiers. La seule méthode de récupération fiable consiste à utiliser les sauvegardes.

Payuranson Ransomware est un type de malware qui appartient à la famille des ransomwares Skynet. Une fois l'infiltration réussie, Payuranson Ransomware lance une routine de cryptage sophistiquée. Il cible généralement un large éventail de types de fichiers, notamment des documents, des images, des vidéos et des bases de données, afin de maximiser l'impact de l'attaque. Le ransomware ajoute une extension de fichier spécifique aux fichiers cryptés, généralement .payuranson, qui sert d’indicateur clair d’infection. L'algorithme de cryptage utilisé par Payuranson Ransomware est souvent avancé, utilisant des combinaisons de méthodes de cryptage RSA et AES. Il s’agit d’algorithmes cryptographiques connus pour leur robustesse, rendant le décryptage non autorisé extrêmement difficile sans la clé de décryptage unique détenue par les attaquants. Suite au processus de cryptage, Payuranson Ransomware génère une demande de rançon, généralement nommée SkynetData.txt ou une variante similaire, et le place dans chaque dossier contenant des fichiers cryptés. Cette note comprend des instructions sur la manière de contacter les attaquants, généralement par e-mail ou sur un site de paiement basé sur Tor, ainsi que le montant de la rançon demandée, souvent en crypto-monnaies comme Bitcoin. La note peut également contenir des menaces de suppression ou d’exposition de données pour contraindre les victimes à payer la rançon.