Ransomware

Étant un virus ransomware dangereux, Tour cible le cryptage des données et essaie de faire chanter les utilisateurs pour qu'ils paient la rançon. Le virus est facile à distinguer des autres versions car il attribue le .tour extension à toutes les données bloquées. Cela signifie un fichier comme 1.pdf va changer pour 1.pdf.rook et réinitialise son icône d'origine une fois le cryptage réussi. Juste après cela, Rook Ransomware crée une note de texte nommée CommentRestaurerVosFichiers.txt montrer aux utilisateurs comment ils peuvent récupérer les données. Le contenu de la note de texte indique que vous ne pouvez restaurer l'accès à l'intégralité des données qu'en contactant des escrocs et en payant la rançon. La communication doit être établie par e-mail (tour@onionmail.org; securityRook@onionmail.org) ou le lien du navigateur TOR joint à la note. Lorsqu'elles écrivent un message aux cybercriminels, les victimes se voient proposer d'envoyer jusqu'à 3 fichiers (pas plus de 1 Mo) et de les faire décrypter gratuitement. De cette façon, les cybercriminels prouvent leurs capacités de décryptage ainsi que leur fiabilité dans une certaine mesure. De plus, si vous contactez des extorqueurs dans les 3 jours donnés, les cybercriminels offriront une remise de 50 % sur le prix du décryptage. À moins que vous ne respectiez ce délai, les développeurs de Rook commenceront à divulguer vos fichiers sur leur réseau pour en abuser sur les pages darknet par la suite. Ils disent également qu'aucun instrument tiers ne vous aidera à récupérer les fichiers.

HarponLocker est le nom d'une infection récente par ransomware signalée par les utilisateurs sur les forums de logiciels malveillants. Le virus exécute le cryptage des données avec les algorithmes AES-256 et RSA-1024, ce qui rend toutes les données restreintes cryptographiquement sécurisées. À la suite de ce changement de configuration, les utilisateurs ne pourront plus accéder à leurs propres données stockées sur des appareils infectés. HarpoonLocker attribue le .fermé à clé extension, qui est couramment utilisée par de nombreuses autres infections par ransomware. Cela la rend plus générique et parfois difficile à différencier d'autres infections comme celle-ci. Il crée également une note de texte (restaurer-fichiers.txt) contenant des instructions de rançon. Les développeurs disent que toutes les données ont été cryptées et divulguées à leurs serveurs. La seule façon d'annuler cela et de récupérer les fichiers en toute sécurité est de s'entendre sur le paiement de la rançon. Les victimes sont invitées à télécharger le messager qTOX et à contacter les extorqueurs là-bas. Il existe également une option pour essayer gratuitement le décryptage de 3 fichiers bloqués. Il s'agit d'une garantie donnée par les cybercriminels pour prouver qu'ils sont dignes de confiance. Malheureusement, il n'y a pas d'autres contacts en dehors de qTOX que les victimes pourraient utiliser pour engager une discussion avec des cybercriminels. De nombreux cyber-chercheurs ont plaisanté en disant que HarpoonLocker devrait également s'appeler sans nom qTOX Ransomware car il n'y a personne à qui les victimes peuvent parler. Pour cette raison et bien d'autres, il est fortement déconseillé de répondre aux exigences énumérées et de payer la rançon. Très souvent, les cybercriminels trompent leurs victimes et n'envoient aucun outil de décryptage même après avoir reçu l'argent.

D'abord trouvé et recherché par un expert indépendant nommé S!R!, NoCry est un programme ransomware conçu pour exécuter le cryptage des données. Il s'agit d'un schéma très populaire utilisé par les développeurs de ransomwares pour extorquer de l'argent aux victimes en cas de restriction réussie des données. Pour l'instant, il existe deux versions connues de NoCry qui diffèrent par les extensions attribuées aux données bloquées. C'est soit .Cry or .IHA extension qui sera ajoutée aux fichiers cryptés. Par exemple, 1.pdf va changer de look pour 1.pdf.Cry or 1.pdf.IHA et réinitialisez son icône de raccourci à vide après avoir été affecté par un logiciel malveillant. Les extorqueurs derrière NoCry Ransomware exigent un paiement pour le retour des données via un fichier HTML appelé How To Decrypt My Files.html. Il ouvre également une fenêtre contextuelle avec laquelle les victimes peuvent interagir pour envoyer la rançon et décrypter leurs données. Les contenus des deux sont identiques et informent les victimes de la même manière. NoCry donne environ 72 heures pour envoyer 100 $ en BTC à l'adresse cryptographique jointe. Si aucun argent n'est remis dans le délai imparti, NoCry supprimera vos fichiers pour toujours. Il s'agit d'une stratégie d'intimidation destinée à dépêcher les victimes et à payer plus rapidement la rançon demandée.

Rançon maintenant est un autre virus de cryptage de fichiers émis par des cybercriminels pour extorquer de l'argent à des victimes désespérées. C'est très similaire à ce qui a déjà été discuté Rançongiciel Polaris car il exécute le même schéma de cryptage avec les algorithmes AES et RSA. Une autre similitude partagée entre ces attaques de ransomware est qu'elles n'attachent aucune nouvelle extension aux données chiffrées. Bien que les fichiers ne subissent aucun changement visuel significatif, les utilisateurs ne pourront toujours pas les ouvrir. Le virus crée également un fichier texte appelé LISEZ-MOI POUR DÉVERROUILLER LES FICHIERS.txt qui comporte des instructions de décryptage. Les développeurs disent que les victimes ne peuvent restaurer les données qu'en achetant une clé spéciale. Le prix à payer est égal à 0.0044 BTC, soit environ 250 $ au moment de la rédaction de cet article. Gardez à l'esprit que les taux des crypto-monnaies changent toujours, il est donc possible que vous deviez payer plus ou moins demain. Après avoir envoyé le montant nécessaire de BTC, les utilisateurs doivent fournir la preuve de la transaction à l'adresse e-mail ci-jointe (ransomnow@yandex.ru). En plus de cela, les escrocs répertorient quelques ressources où acheter la crypto-monnaie requise, si vous êtes nouveau dans le monde de la crypto. Il est également fortement mis en garde contre l'exécution de manipulations avec des fichiers vous-même ou à l'aide d'outils tiers.

Café décaféiné est classé comme un programme de ransomware conçu pour faire chanter les victimes afin qu'elles versent de l'argent pour la récupération des données bloquées. Ses premières attaques ont été enregistrées début novembre 2021 et continuent de se dérouler sur plusieurs utilisateurs. Le virus utilise sa propre extension appelée .café décaféiné qui est attribué lors du cryptage. Un exemple de la façon dont les fichiers cryptés aimeraient après cryptage est ce "1.pdf.decaf". Il est impossible de faire clignoter l'infection car tous les fichiers perdent également leur accessibilité et leurs icônes. Lors de l'installation réussie des chiffrements cryptographiques, Decaf crée une note de texte nommée README.txt qui contient des informations sur la façon de récupérer vos données. Les cybercriminels affirment que toutes les données du serveur et du PC ont été cryptées avec des algorithmes puissants empêchant tout décryptage par un tiers. Le seul moyen possible de restaurer l'accès à l'intégralité des données est d'utiliser un décrypteur "universel" spécial stocké par les extorqueurs. Pour obtenir des instructions supplémentaires concernant le décryptage, les victimes doivent écrire à l'adresse e-mail jointe (22eb687475f2c5ca30b@protonmail.com). À partir de là, seront probablement informés du prix du logiciel de décryptage et des moyens de l'obtenir. En règle générale, les cyber-escrocs demandent à leurs victimes d'envoyer des montants d'argent variables dans certaines crypto-monnaies à leurs portefeuilles. La plage peut varier de centaines à des milliers de dollars pour la restauration des données.

Polaris est un programme ransomware qui utilise une combinaison d'algorithmes AES et RSA pour crypter les données des utilisateurs. Contrairement à d'autres infections de ce type, Polaris n'ajoute aucune extension aux fichiers cryptés. La seule chose qui change est l'accessibilité aux fichiers - les victimes ne sont plus autorisées à ouvrir les données stockées. Afin de résoudre ce problème, les développeurs de Polaris encouragent leurs victimes à lire les instructions de récupération dans un fichier appelé AVERTISSEMENT.txt. La note de texte crée à la fin du cryptage et dit que vous devez contacter les extorqueurs en utilisant la communication par e-mail (pol.aris@openrash.com or pol.aris@tutanota.com). Il existe également une option pour ajouter des cybercriminels sur Discord à la place. Lors de la rédaction d'un message, les victimes doivent indiquer le nom de l'entreprise qui a été attaquée. C'est un indice que Polaris cible les réseaux commerciaux afin qu'ils puissent se permettre de payer la rançon requise. Le conseil le plus courant que vous pouvez voir sur le Web concernant les paiements de rançon est de les éviter autant. C'est vrai parce que de nombreux cybercriminels ont tendance à tromper leurs victimes et à n'envoyer finalement aucun outil de décryptage.

Si vous avez trouvé que vos fichiers ont de nouveaux .hamster extension et n'est plus accessible, vous êtes infecté par un virus appelé Hamster Ransomware. Les infections de ce type piratent les paramètres de votre PC pour exécuter le cryptage des données. Ils appliquent également des changements visuels pour que les victimes repèrent le résultat de l'infection. Après un cryptage réussi, vous verrez un fichier comme 1.pdf changer en 1.pdf.hamster et réinitialisez son icône par défaut à vide. Le virus créera également une note de texte appelée Comment décrypter.txt. Comme indiqué dans la note, Hamster Ransomware a pénétré votre réseau et bloqué l'accès à la plupart des données. Afin de le récupérer, les victimes sont invitées à contacter les cybercriminels avec l'identifiant qui leur a été attribué et à acheter l'outil de décryptage. Il est important que les victimes contactent les développeurs de logiciels malveillants à l'aide de TOX Messenger, qui doit être installé en cas d'absence. Les fraudeurs vous conseillent également de les contacter dans les 72 heures suivant l'attaque. De cette façon, le prix de la récupération complète des données sera réduit. Il est également mentionné que les attaquants diront comment ils ont infiltré votre système et ce qui peut être fait pour corriger la vulnérabilité existante à l'avenir.

Hospitalhelper est le nom d'une autre infection par ransomware. Bien qu'il soit nouveau, le virus copie les traits d'autres versions populaires. Le cryptage des fichiers, la nouvelle extension et la demande de rançon sont les principaux changements apportés par Hospitalhelper. Par exemple, un fichier comme 1.pdf changera en quelque chose comme ça 1.pdf.hospitalhelper.5BB-DE6-0CC et réinitialisez son icône de raccourci. Tandis que .hospitalhelper est une extension constante, 5BB-DE6-0CC représente une combinaison aléatoire de lettres reflétant l'identité d'une victime. Une fois vos fichiers modifiés de cette manière, l'accès à ceux-ci ne sera plus disponible. Hospitalhelper crée également une note de texte appelée !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT qui contient des instructions de rançon.