Ransomware

Cat4er est un virus ransomware qui déclenche le cryptage des données lors de l'infection du système ciblé. Il le fait en attribuant le .cat4er extension pour faire ressembler les fichiers cryptés 1.pdf.cat4er, 1.png.cat4er, 1.xlsx.cat4er, et ainsi de suite en fonction du nom d'origine. Après avoir exécuté ces modifications, le virus crée un fichier HTML appelé HOW_FIX_FILES.htm et destiné à instruire les victimes tout au long du processus de décryptage. Comme indiqué dans la note HTML, les victimes peuvent accéder à nouveau à toutes les données bloquées en accédant au lien TOR ci-joint et en suivant les instructions sur la façon d'acheter un logiciel de décryptage spécial. Les victimes ont 10 jours pour décider de payer la rançon d'une valeur de 0.08 BTC - environ 3300$ au moment de la rédaction de cet article. Une fois le paiement effectué, les cybercriminels promettent d'envoyer les outils déclarés capables de décrypter les fichiers. Malheureusement, les acteurs du ransomware sont les seuls à disposer des clés nécessaires pour déverrouiller vos données. Ces clés sont souvent fortement sécurisées et presque impossibles à déchiffrer à l'aide d'outils tiers.

Nouvelexploit est un virus rançongiciel conçu pour crypter les données stockées sur PC et faire chanter les victimes pour qu'elles paient la soi-disant rançon. Le chiffrement réussi est justifié après que Newexploit a modifié les extensions de fichier en .exploit. Par exemple, un fichier comme 1.pdf laissera tomber son icône d'origine et changera pour 1.pdf.exploit. En conséquence, les utilisateurs perdent leur accès aux fichiers, ce qui signifie qu'ils ne peuvent plus les lire ou les modifier. Afin d'y remédier, Newexploit propose à ses victimes de suivre des instructions écrites à l'intérieur d'une note textuelle (INFORMATIONS DE RÉCUPÉRATION.txt). Cette note est créée immédiatement après un cryptage réussi et contient des informations sur la façon de récupérer les données.

Faisant partie de la famille Phobos, Elbie est une infection ransomware conçue pour générer des profits pour ses développeurs en extorquant de l'argent aux victimes. Il le fait juste après avoir crypté les données et ajouté de nouvelles extensions de fichier. Par exemple, un fichier nommé 1.pdf va changer pour quelque chose comme 1.pdf.id[C279F237-2994].[antich154@privatemail.com].Elbie et également réinitialiser son icône d'origine. Le modèle utilisé par les cybercriminels pour renommer les fichiers est original_filename.[victim's ID].[antich154@privatemail.com].Elbie. Après avoir appliqué tous les changements visuels, le virus crée deux notes de rançon appelées info.hta ainsi que info.txt. Les deux contiennent des instructions courtes et plus larges sur la façon de renvoyer les données bloquées.

Dead Bolt est un virus ransomware qui pirate les appareils QNAP et NAS en utilisant des problèmes de vulnérabilité pour chiffrer les données stockées. Cela se produit immédiatement, ne permettant pas aux utilisateurs d'empêcher le processus et de sauvegarder leurs fichiers à partir d'un cryptage fort. Une fois distribué, le virus détourne l'écran de connexion QNAP pour présenter une demande de rançon demandant aux victimes de payer pour le décryptage. Cela empêche les utilisateurs infectés d'aller n'importe où au-delà de l'écran de journalisation pour accéder à leur page d'administration, par exemple. Cependant, QNAP a noté que cela peut être contourné en utilisant les URL suivantes - http://nas_ip:8080/cgi-bin/index.cgi or https://nas_ip/cgi-bin/index.cgi. De plus, toutes les fenêtres contextuelles de demande de rançon sont également contenues dans un seul fichier HTML appelé index.html_deadlock.txt. DeadBolt attribue également le nouveau .pêne dormant extension à toutes les données impactées au sein d'un système. Pour illustrer, un fichier comme 1.pdf va changer pour 1.pdf.deadbolt devenant totalement inaccessible. La même chose arrivera à tous les fichiers cryptés par DeadBolt Ransomware. Vous pouvez développer la liste de toutes les extensions de fichiers ciblées par cette variante de ransomware :

Assistance au décryptage de la Chine a été classé comme une infection ransomware. Cela signifie qu'il est capable de crypter des données personnelles et d'exiger de l'argent pour leur retour. Pendant le cryptage, tous les fichiers compromis subissent des changements visuels - le virus s'ajoute .asistchinadecryption ainsi qu'un identifiant de victime aux noms de fichiers d'origine. Par exemple, un fichier comme 1.pdf sera modifié en 1.pdf.asistchinadecryption.C04-41D-05E et réinitialiser son icône d'origine. Il en sera de même pour toutes les autres données ne variant qu'avec les identifiants par victime. Le chiffreur de fichiers crée également un fichier nommé !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT. Il s'agit d'une note de rançon destinée à fournir aux victimes des étapes sur la façon de récupérer les fichiers.

White Rabbit est classé comme un programme ransomware qui exécute le cryptage des données pour exiger de l'argent pour son retour. Il a été détecté par Michael Gillespie - un chercheur de logiciels malveillants populaire spécialisé dans les infections par ransomware. Lors du cryptage de toutes les données importantes stockées sur un système, le virus ajoute un .scrypt extension à la fin de chaque fichier. Par exemple, un échantillon nommé 1.pdf va changer pour 1.pdf.scrypt et réinitialiser son icône d'origine. De plus, tous les fichiers bloqués recevront leurs fichiers de note de rançon avec des clés de cryptage uniques. 1.pdf.scrypt obtiendrez 1.pdf.scrypt.txt, 1.xlsx.scrypt - 1.xlsx.scrypt.txt, et ainsi de suite.

GuêpeLocker est une infection virale assez dévastatrice qui crypte les données personnelles avec des algorithmes cryptographiques puissants. Il s'agit de s'assurer que les utilisateurs ne pourront pas restituer leurs données sans l'aide de cybercriminels. Malheureusement, les cybercriminels demandent à leurs victimes de payer 0.5 BTC, ce qui est insupportablement élevé. Les utilisateurs attaqués par WaspLocker reçoivent ces informations dans une note textuelle appelée Comment restaurer vos fichiers.txt et une fenêtre contextuelle séparée avec des instructions sur la façon de récupérer les fichiers bloqués. De plus, les développeurs de WaspLocker mettent en avant le chiffrement des données en ajoutant de nouvelles extensions (.locked or .0.locked) et réinitialiser les icônes des fichiers. Par exemple, un fichier comme 1.pdf modifiera pour 1.pdf.locked or 1.pdf.0.locked selon la version de WaspLocker qui a infecté votre système.

KMA47 a été développé dans le seul but - de crypter les données personnelles et d'exiger de l'argent pour leur retour. Un tel virus entre dans la catégorie des infections par ransomware à haut risque. Le processus de cryptage des données commence par l'ajout de nouveaux .Crypter extension à la fin des fichiers bloqués et se termine par la création de read_me.txt - une note de rançon expliquant les instructions sur la façon de récupérer les fichiers. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.encrypt et réinitialiser son icône. KMA47 modifie également les fonds d'écran des victimes. La note indique que le virus a été piraté, ce qui a entraîné un cryptage complet des données. Afin de résoudre ce problème, les victimes sont invitées à contacter les cybercriminels en utilisant la communication par e-mail (manager@mailtemp.ch or helprestoremanager@airmail.cc) et payer éventuellement une rançon de 100$. Après avoir envoyé l'argent, les développeurs de rançongiciels doivent envoyer votre clé privée et un logiciel de décryptage spécial pour déverrouiller les données. Bien que les cybercriminels puissent être les seuls personnages capables de déchiffrer entièrement vos données, le paiement de la rançon ne garantit pas toujours que vous l'obtiendrez éventuellement. Malheureusement, le décryptage manuel est également moins probable en raison d'algorithmes puissants et du stockage en ligne des clés. Vous pouvez essayer en utilisant des décrypteurs tiers, sauf si vous disposez de copies de sauvegarde. Si vous avez des fichiers de rechange stockés sur le cloud sécurisé ou sur un stockage physique, copiez-les et évitez de payer la rançon.