Ransomware

Eyé est un virus dangereux qui exécute le cryptage des données à l'aide de chiffrements cryptographiques pour empêcher les victimes d'y accéder. Ce type d'infection est classé comme rançongiciel et vise à inciter ses victimes à envoyer de l'argent pour le décryptage. Afin de montrer que les fichiers stockés sur un PC ont été cryptés, le virus attribue son propre .eeyee extension avec des chaînes de symboles aléatoires générées de manière unique pour chaque échantillon chiffré. Par exemple, un fichier comme 1.pdf devra faire face à un changement 1.pdf._9kS79wzVPITFK7aqOYOceNkL7HXF2abMSeeTutfPGP_I8Rqxs2yWeo0.eeyee ou similaire avec d'autres symboles. Les fichiers cryptés seront bloqués de tout accès et réinitialiseront également leurs icônes en blanc. Presque immédiatement après le cryptage, Eeyee crée le 6pZZ_HOW_TO_DECRYPT.txt note textuelle avec instructions de rançon. La note est destinée à informer les victimes des changements et à les guider tout au long du processus de rétablissement. Les cybercriminels disent qu'il est obligatoire d'acheter un logiciel de décryptage spécial pour renvoyer les fichiers et empêcher les fuites de données compromises. Les victimes sont invitées à contacter les escrocs en utilisant le lien oignon dans le navigateur Tor. Après avoir terminé ces étapes, les victimes entreront en contact avec les développeurs et apprendront plus de détails sur l'achat des outils. La note contient également des messages conseillant de ne pas modifier les données ou de demander l'aide de tiers (FBI, police, sociétés de récupération, etc.).

Vous devez payer est un type de virus classé comme ransomware. Il fonctionne en cryptant les fichiers personnels et en exigeant de l'argent pour leur retour. Au cours de ce processus, le ransomware attribue le .Vous devez payer extension à toutes les données bloquées. Par exemple, un fichier comme 1.pdf sera changé en 1.pdf.youneedtopay et réinitialiser son icône d'origine. Après avoir ajouté ces modifications, le virus crée une note de texte appelée READ_THIS.txt qui vise à expliquer les instructions de décryptage. Les fonds d'écran sont également modifiés. Regardez de plus près quel est le contenu là-bas.

Casier d'administration est le nom d'un virus ransomware qui a commencé à se propager en décembre 2021. Il utilise une combinaison d'algorithmes AES + RSA pour écrire des chiffrements cryptographiques sécurisés sur les données stockées. Cela affecte l'accès aux fichiers et leur apparence visuelle. Admin Locker ajoute l'une des extensions suivantes à toutes les données bloquées : .admin1, .admin2, .admin3, .1admin, .2adminou .3admin. Peu importe lequel d'entre eux vous a été appliqué. Leur seule fonction est de montrer que les fichiers ont été cryptés et de le faire voir aux victimes. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.1admin (ou autre extension) et ne deviennent plus accessibles. Une fois le cryptage terminé, Admin Locker explique comment récupérer les données dans sa note texte (!!!Recovery File.txt) et sur sa page Web accessible via le lien TOR.

Maintenant est une infection ransomware qui crypte toutes les données importantes à l'aide d'algorithmes AES-256. Il renomme également les données bloquées avec des symboles générés aléatoirement et .certainement pas extension. Pour illustrer, un fichier comme 1.pdf va changer pour 611hbRZBWdCCTALKlx.noway et perd son icône d'origine en cas de cryptage réussi. En règle générale, la majorité des fichiers cryptés par ransomware ne peuvent pas être décryptés sans l'aide de cybercriminels. Malgré cela, Noway Ransomware est l'un des rares à pouvoir être officiellement déchiffré à l'aide de l'outil Emisoft gratuitement. Vous pouvez le télécharger plus loin dans notre guide ci-dessous. Nous vous encourageons à ne pas précipiter le processus de décryptage car vous devez d'abord supprimer le virus (également guidé dans ce didacticiel). En plus d'exécuter le cryptage sur les données personnelles, Noway émet une note de texte appelée Déverrouillez votre fichier Intraction.txt. La note montre comment récupérer vos données avec l'aide des développeurs de ransomware. Les escrocs donnent 72 heures pour décider de payer la rançon. Si les victimes dépassent ce délai de paiement donné, les escrocs prétendent que vos données deviendront inaccessibles pour toujours. Ce n'est pas vrai car les développeurs d'Emisoft ont réussi à déchiffrer les chiffrements et à aider les victimes à déchiffrer les fichiers de Noway gratuitement.

RL Wana-XD est une infection ransomware qui crypte les données importantes stockées sur un PC. Pour le mettre en évidence, le virus annonce le sien .XD-99 extension à tous les noms de fichiers concernés. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.XD-99 et réinitialiser son icône d'origine. En conséquence, les victimes ne pourront plus accéder au fichier et parcourir son contenu. Pour inverser ces implications, les développeurs de RL Wana-XD proposent à leurs victimes de lire des instructions de décryptage spéciales à l'intérieur d'une note de texte (Readme.txt). La note de texte est courte, mais spécifique - les développeurs prétendent que le seul moyen de renvoyer vos données est de payer pour un logiciel et une clé de décryptage uniques. Pour ce faire, les victimes sont guidées pour contacter les escrocs à travers Wana-XD@bk.ru or RL000@protonmail.ch adresses mail. Malheureusement, les clés utilisées par RL Wana-XD Ransomware pour chiffrer vos données sont souvent sécurisées et stockées en mode ONLINE. Cela signifie que le décryptage manuel à l'aide d'outils tiers est susceptible de ne donner aucun fruit ou de ne décoder qu'une partie des données. À moins que vous n'ayez votre identifiant personnel se terminant par t1, le décryptage par un tiers sera moins susceptible de vous aider. Dans le même temps, payer les cybercriminels est toujours associé à un risque car ils peuvent tromper leurs victimes et ne pas envoyer le décryptage promis.

Razer est le nom d'une infection par ransomware qui exécute le cryptage des données en demandant aux victimes de payer de l'argent pour leur retour. Les utilisateurs infectés par ce virus verront leurs noms de fichiers modifiés avec une chaîne de caractères aléatoire, l'adresse e-mail des cybercriminels (razer1115@goat.si), Et .razer prolongation à la fin. Par exemple, un fichier nommé 1.pdf qui a subi ces changements ressemblera à quelque chose comme ça 1.pdf.[42990E91].[razer1115@goat.si].razer et réinitialisez son icône à vide. Afin de décrypter les données, les développeurs de virus proposent de suivre leurs instructions fournies dans le readme-warning.txt note de texte. Il est dit que les victimes doivent contacter les fraudeurs en utilisant l'un des e-mails (razer1115@goat.si, pecunia0318@tutanota.comou pecunia0318@goat.si) et payer la rançon en bitcoins. Pour convaincre les victimes qu'on peut leur faire confiance, les cybercriminels proposent l'option dite de garantie où les victimes sont autorisées à envoyer 2 fichiers avec des extensions simples (max 1 Mo) et à les recevoir décryptés gratuitement. De nombreux créateurs de rançongiciels utilisent cette astuce pour inciter les victimes à payer la rançon et à rester en contact avec elles. Nous vous recommandons fortement d'éviter de répondre aux demandes des développeurs et de récupérer vos données à l'aide d'une sauvegarde.

Découvert par un chercheur de logiciels malveillants nommé S!Ri, Surtr est un programme ransomware développé pour crypter divers types de données personnelles. Il est toujours courant de voir des fichiers populaires comme de la musique, des photos et des documents affectés lors de l'attaque du virus. Surtr utilise l'e-mail des cybercriminels (DecryptMyData@mailfence.com) et .SURT extension pour renommer toutes les données bloquées. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.[DecryptMyData@mailfence.com].SURT et réinitialiser son icône d'origine à vide. Le même changement sera appliqué aux autres données qui sont passées par le cryptage. En outre, deux fichiers sont également créés après un cryptage réussi - une note de texte appelée SURTR_README.txt ainsi que SURTR_README.hta que son destiné à ouvrir une fenêtre pop-up. Ces deux fichiers sont utilisés pour fournir des instructions de ransomware aux victimes. Vous pouvez regarder de près leur contenu ci-dessous:

Faire partie du Famille de ransomwares Dharma, Dr est un autre crypteur de fichiers qui bloque l'accès aux données et demande à ses victimes de payer de l'argent pour le retour. Dès que le cryptage entrera en vigueur, tous les fichiers stockés sur un système seront modifiés avec l'ID unique des victimes, l'adresse e-mail des développeurs et .dr extension. Un échantillon affecté comme 1.pdf va se transformer en quelque chose comme ça 1.pdf.id-1E857D00.[dr.decrypt@aol.com].dr, et ainsi de suite avec d'autres types de données cryptées. Les seules informations variables sont les identifiants des victimes, ils sont donc très probablement différents pour chaque utilisateur infecté. Après un cryptage réussi, le virus crée une note textuelle appelée FILES ENCRYPTED.txt. Il force également l'ouverture d'une fenêtre contextuelle contenant les mêmes instructions de rançon que dans la note. Les victimes reçoivent des instructions pour contacter les extorqueurs par courrier électronique. Leur adresse e-mail est également visible à l'intérieur de la nouvelle extension ajoutée aux données bloquées. Si les développeurs ne répondent pas dans les 12 heures, les victimes doivent écrire à un autre e-mail indiqué dans la note. En outre, les escrocs derrière Dr Ransomware avertissent également leurs victimes de ne pas renommer les fichiers ou d'utiliser des outils tiers pour les décrypter. Il n'y a pas non plus d'informations sur le montant que les victimes doivent payer pour le décryptage de leurs données, car cela sera connu lors du contact avec les fraudeurs.