Ransomware

Anime est le nom d'un cryptovirus. Il est conçu pour rendre les données stockées dans le système inaccessibles et inutilisables. Les utilisateurs infectés par un ransomware peuvent voir le processus de cryptage en consultant les fichiers restreints - tous finissent par être modifiés avec le .anime extension. Par exemple, un fichier comme 1.pdf sera modifié en 1.pdf.anime et réinitialiser également son icône d'origine. Après avoir fait avancer les choses avec le cryptage, le virus propose des instructions de rançon sur la façon de récupérer les données. Ils peuvent être trouvés à l'intérieur d'un fichier texte appelé I_LOVE_ANIME.txt. Comme indiqué dans la note, les victimes ont 2 jours pour contacter les cybercriminels à zdarovachel@gmx.at et payer pour le décryptage des fichiers. Si les victimes ne respectent pas le délai imparti, toutes les données cryptées seront publiées sur des ressources Web sombres pour de futurs abus. De plus, les développeurs de rançongiciels déconseillent également de modifier les fichiers ou d'essayer de les décrypter sans cybercriminels. Au moment de la rédaction de cet article, il n'existe aucun moyen garanti de décrypter les données gratuitement sans l'aide des développeurs initiaux.

Kashima (KashimaWare) est un programme ransomware - le type de logiciel malveillant conçu pour crypter les données et exiger de l'argent pour leur retour. Contrairement à d'autres infections de ce type, le virus cible des formats de fichiers spécifiques et assez inhabituels - .config, .cfg, .js, .NOOB, .lua, .lwet .tryme ainsi que. Il les modifie donc avec le .KASHIMA extension. Par exemple, un fichier comme 1.js va changer pour 1.js.KASHIMA, 1.cfg à 1.cfg.KASHIMA et ainsi de suite avec d'autres données affectées. Dès que ce processus est terminé, Kashima affiche un message contextuel (AVERTISSEMENT !) sur tout l'écran.

Désolé, c'est juste des affaires est le nom d'un virus rançongiciel. Comme d'autres infections de ce type, il crypte les données personnelles et fait chanter les victimes pour qu'elles paient une rançon. Le processus de cryptage peut être facilement repéré en examinant les fichiers concernés. Sorryitsjustbusiness modifie leurs extensions d'origine en caractères aléatoires et réinitialise les icônes en blanc. Pour illustrer, un fichier comme 1.pdf peut changer en 1.pdf.ws9y, 1.png à 1.png.kqfb, et ainsi de suite avec d'autres extensions et fichiers aléatoires. Après un cryptage réussi, le virus crée une note de texte appelée read_it.txt et installe de nouveaux fonds d'écran. La note textuelle et les fonds d'écran affichent des informations sur la façon de récupérer les données. Les victimes disent qu'il est nécessaire d'acheter une clé exclusive pour décrypter leurs fichiers. Le coût de cette clé est de 150,000 XNUMX $ à payer en Bitcoin à l'adresse crypto jointe. Une fois le transfert effectué, les victimes doivent informer les escrocs en envoyant un message à leur adresse e-mail (désoléitsjustbusiness@protonmail.com). Si les victimes ne le font pas dans les 24 heures après avoir été infectées, le prix du décryptage doublera. Il est également mentionné que les fichiers cryptés seront supprimés après 48 heures d'inaction des victimes. Sur la base du montant de rançon demandé, nous pouvons alors supposer que l'objectif de Sorryitsjustbusiness est fixé sur les entreprises avec un bon niveau de revenus. En règle générale, il est déconseillé de faire confiance aux cybercriminels et de payer la rançon qu'ils souhaitent.

Faire partie du Babouk famille, CASIER ANUBIZ est une infection ransomware conçue pour crypter les données. Pour ce faire, il utilise des algorithmes de cryptage sécurisés et modifie les noms des données concernées avec le .lomer extension. Pour illustrer, un fichier appelé 1.pdf va changer pour 1.pdf.lomer et réinitialiser son icône d'origine à vide. Après avoir réussi à restreindre l'accès aux données, le virus fait chanter les victimes pour qu'elles paient une rançon. Cela se fait à travers le How To Restore Your Files.txt fichier texte créé sur des appareils compromis. Le fichier indique que tous les fichiers précieux ont été cryptés et copiés sur les serveurs des cybercriminels, toutes les sauvegardes ont également été supprimées. Les victimes peuvent potentiellement restaurer leurs données en achetant un logiciel de décryptage spécial proposé par les attaquants. Il est guidé pour établir un contact avec les cybercriminels en utilisant leur adresse e-mail pour obtenir plus de détails sur le décryptage. Les utilisateurs infectés sont également autorisés à joindre un fichier à leur message et à le décrypter gratuitement. Si les victimes ignorent ces demandes et s'attardent à payer la rançon, les cybercriminels menacent de commencer à divulguer les fichiers collectés vers des ressources du dark web.

Qmam4 est une infection à haut risque classée comme cryptovirus. La raison pour laquelle il porte ce nom réside dans son comportement après l'attaque - le virus demande aux victimes de payer une somme d'argent en crypto-monnaie lors du blocage de l'accès aux données. Ces infections sont également connues sous le nom de ransomwares. Ils cryptent les données personnelles et font chanter les victimes pour qu'elles paient la rançon. Lors du chiffrement, Qmam4 attache une chaîne de caractères aléatoires et le nouveau .qmam4 extension à chaque fichier affecté. Par exemple, 1.pdf va changer pour 1.pdf.{random sequence}.qmam4 devenant plus accessible. Suite à cela, Qmam4 crée un fichier texte appelé C3QW_HOW_TO_DECRYPT.txt qui illustre comment les victimes peuvent déverrouiller leurs données. On dit que les victimes peuvent déchiffrer et empêcher la vente de données importantes sur les ressources du dark web. Pour ce faire, les victimes sont invitées à contacter les cybercriminels en utilisant le lien Tor. Après avoir pris contact avec les développeurs, ils vous diront soi-disant d'envoyer de l'argent en crypto-monnaie et de récupérer un outil de décryptage spécial par la suite. Si les victimes refusent de suivre les instructions, les données collectées seront divulguées aux mains de personnalités tierces. Malheureusement, la collaboration avec des cybercriminels pourrait être le seul moyen de décrypter vos données et d'éviter les données exfiltrées publiquement. Il est moins probable qu'un outil tiers puisse déchiffrer vos données gratuitement sans l'aide d'attaquants.

ALBASA est un virus de type ransomware conçu pour crypter les données stockées dans le système et faire chanter les victimes afin qu'elles paient de l'argent pour leur retour. Lors du cryptage, tous les fichiers acquièrent le nouveau .ALBASA extension et réinitialiser leurs icônes d'origine à vide. Cela s'accompagne également de la création de RESTORE_FILES_INFO.txt - une note textuelle contenant des instructions sur la façon de récupérer les données bloquées.

Ouverture automatique est une infection ransomware qui a été découverte assez récemment. Il crypte les fichiers personnels en ajoutant le .cantopen l'extension et la création du HELP_DECRYPT_YOUR_FILES.txt fichier texte pour faire chanter les victimes afin qu'elles paient la rançon. Pour illustrer, un fichier nommé 1.pdf sera modifié en 1.pdf.cantopen et déposez son icône de raccourci d'origine. Un tel changement sera appliqué à toutes les données ciblées les rendant plus accessibles.

Noir est le nom d'une infection ransomware qui a été découverte assez récemment. Il est développé pour exécuter le cryptage des données et faire chanter les victimes afin qu'elles paient de l'argent pour leur retour. Les victimes peuvent repérer un décryptage réussi simplement en regardant leurs fichiers - la majorité d'entre eux seront modifiés à l'aide du .black extension et perdre les icônes d'origine. Pour donner un exemple, 1.pdf sera modifié en 1.pdf.black, 1.png à 1.png.black, et ainsi de suite avec le reste des fichiers ciblés. Ensuite, dès que cette partie du cryptage est terminée, le virus affiche des instructions de décryptage à l'intérieur d'une note textuelle (read_me.txt).