Ransomware

SUPERSUSO est un programme de ransomware qui utilise des algorithmes de cryptage puissants pour empêcher les utilisateurs d'accéder à leurs propres données. Un tel changement vise à inciter les gens à payer la soi-disant rançon pour récupérer des fichiers cryptés. Les victimes apprendront le cryptage des fichiers grâce aux nouvelles extensions qui leur sont attribuées. Les développeurs SUPERSUSO utilisent le .ICQ_SUPERSUSO extension pour renommer toutes les données bloquées. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.ICQ_SUPERSUSO et réinitialiser son icône d'origine. La même chose sera appliquée à toutes les données bloquées sur votre système. Après cela, SUPERSUSO émet un fichier texte nommé #Décrypter#.txt pour expliquer les instructions de récupération. Au début, les victimes sont invitées à installer le logiciel ICQ pour PC, Android ou IOS et à écrire à l'adresse du destinataire des cybercriminels, qui est mentionnée dans la note. ICQ est un messager fiable et légitime utilisé par les cybercriminels pour établir une communication anonyme avec leurs victimes. Si les victimes ne parviennent pas à contacter les développeurs dans les 72 heures, les informations compromises seront recueillies et divulguées sur les marchés du darknet.

Shasha est le nom d'un virus ransomware qui crypte et modifie les données avec le .shasha extension. La nouvelle extension n'est pas une partie essentielle du cryptage, mais plutôt un aspect visuel destiné à mettre en évidence les données bloquées. Si vous voyez cette extension attribuée à la plupart des données comme celle-ci 1.pdf.shasha, alors vous êtes sans aucun doute infecté par un ransomware. La prochaine étape du développeur après avoir bloqué l'accès aux fichiers consiste à expliquer comment les récupérer. Pour cela, les cybercriminels en charge du virus Shasha créent une note textuelle appelée READ_ME.txt et changer les fonds d'écran. À l'intérieur de cette note, les extorqueurs prétendent qu'ils sont les seuls personnages capables de décrypter vos fichiers. Pour être plus précis, ce sont eux qui détiennent les clés privées et les logiciels de décryptage qui peuvent déverrouiller les données. Les victimes sont priées de l'acheter pour 50$ en BTC. Le paiement doit être envoyé via l'adresse Bitcoin jointe dans la note. Malheureusement, il est assez incertain de savoir comment les cybercriminels vont vous envoyer le logiciel de décryptage acheté.

CommunRançon est classé comme un virus ransomware qui crypte les données stockées sur des appareils infectés pour exiger le paiement de leur retour. Cette version a été découverte par un chercheur de logiciels malveillants nommé Michel Gilles. Tout comme de nombreuses infections par ransomware, CommonRansom attribue sa propre extension pour mettre en évidence les données bloquées. Toutes les données chiffrées par CommonRansom changeront comme ce fichier ici - 1.pdf > 1.pdf.[old@nuke.africa].CommonRansom. Après cela, une autre chose à initier par le virus est la création d'une demande de rançon. Le nom de la note est DÉCRYPTAGE.txt et il est placé dans chaque dossier contenant des fichiers infectés. Cette note indique que les victimes ont 12 heures à l'avance pour demander le décryptage des données, sinon, il n'y aura plus aucune chance de les renvoyer. Il existe également un modèle qui doit être utilisé lorsque vous contactez des cybercriminels par leur adresse e-mail. Le modèle ci-joint est en fait très suspect car il demande aux victimes d'écrire leur port PC RDP, un nom d'utilisateur ainsi qu'un mot de passe utilisé pour se connecter au système et l'heure à laquelle vous avez payé 0.1 BTC à l'adresse crypto indiquée.

Gyjeb est un virus ransomware qui exécute le cryptage des données pour extorquer de l'argent aux victimes. Il ressemble beaucoup à Keq4p Ransomware, ce qui signifie qu'ils sont susceptibles de provenir de la même famille de logiciels malveillants. Juste comme Keq4p, Gyjeb Ransomware attribue une chaîne aléatoire de symboles insensés avec ses propres .gyjeb extension. Pour illustrer, un fichier comme "1.pdf" changera son apparence en quelque chose comme 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb et réinitialiser son icône d'origine. Une fois que tous les fichiers ont été modifiés de cette façon, le virus crée une note de texte appelée nTLA_HOW_TO_DECRYPT.txt ce qui implique des instructions de déchiffrement. Vous pouvez vous familiariser avec cette note dans la capture d'écran ci-dessous.

Keq4p est une infection ransomware qui crypte les données personnelles à l'aide d'algorithmes cryptographiques. Ces algorithmes assurent une forte protection des données contre les tentatives de décryptage. Les fichiers attaqués par les ransomwares sont généralement des photos, des vidéos, de la musique, des documents et d'autres types de données pouvant avoir une certaine valeur. La plupart des crypteurs de fichiers modifient tous les fichiers concernés en attribuant leur propre extension. Keq4p fait exactement la même chose, mais attache également une chaîne aléatoire de symboles. Par exemple, un fichier comme 1.pdf va changer pour quelque chose comme 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p ou similaire. La chaîne attribuée est totalement aléatoire et n'a aucun but réel. Parallèlement aux changements visuels, Keq4p clôt son processus de cryptage avec la création de zB6F_HOW_TO_DECRYPT.txt, un fichier texte contenant des instructions de rançon. Vous pouvez regarder de plus près ce qu'il contient dans la capture d'écran suivante.

Hydra est une infection ransomware qui rend les données des utilisateurs inaccessibles en exécutant un cryptage complet. En plus de ne pas pouvoir accéder aux données, les utilisateurs peuvent également remarquer des changements visuels. Hydra attribue une nouvelle chaîne de symboles contenant les adresses e-mail des cybercriminels, un identifiant généré aléatoirement attribué à chaque victime et le .HYDRE prolongation à la fin. Pour illustrer, un fichier comme 1.pdf va changer de look pour [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA et réinitialisez l'icône d'origine à vide. Dès que tous les fichiers sont cryptés, le virus promeut des instructions de rançon pour guider les victimes tout au long du processus de récupération. Cela peut être trouvé à l'intérieur de #FILESENCRYPTED.txt note textuelle, qui est créée après le cryptage. Les développeurs d'Hydra disent que les victimes peuvent restaurer leurs fichiers en écrivant à l'adresse e-mail jointe (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com). Après cela, les cybercriminels devraient donner des instructions supplémentaires pour acheter le décryptage des fichiers.

DeltaPlus est un virus de type rançongiciel qui utilise des algorithmes cryptographiques pour crypter les données personnelles. Il attribue des chiffrements forts qui sont difficiles à décoder sans outils de décryptage spéciaux détenus par les cybercriminels eux-mêmes. Pour acheter ces outils, les victimes sont priées d'envoyer l'équivalent de 6,000 3,000 USD en BTC à une adresse cryptographique. Le prix du décryptage peut également être réduit à 72 XNUMX USD si vous parvenez à effectuer le paiement dans les XNUMX heures suivant l'infection. Toutes ces informations sont divulguées à l'intérieur de la note de texte appelée Aide à restaurer vos fichiers.txt, qui est créé dès que le chiffrement des fichiers est terminé. Delta Plus ajoute le .delta extension à tous les fichiers concernés. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.delta et perdre son icône d'origine. Après ces changements, les utilisateurs ne pourront plus accéder à leurs fichiers tant qu'ils n'auront pas payé la rançon requise.

Découvert par Tomas Meskauskas, Koxic est considéré comme une infection par ransomware qui fonctionne en cryptant les données stockées sur PC. En d'autres termes, la majorité des fichiers comme les photos, les vidéos, la musique et les documents seront bloqués par le virus pour empêcher les utilisateurs d'y accéder. Tous les fichiers cryptés sont également nouveaux .KOXIQUE or .KOXIC_PLCAW prolongements. Cela signifie des fichiers cryptés comme 1.pdf va changer pour 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Le même modèle sera appliqué aux données résiduelles cryptées par un ransomware. Après avoir fait les choses avec le cryptage, le virus crée une note de texte qui explique les instructions de rançon. Ces instructions indiquent que les victimes doivent contacter les développeurs via koxic@cock.li or koxic@protonmail.com e-mails avec leur identifiant personnel. Cet identifiant peut être trouvé attaché à la demande de rançon. Si cela n'est pas visible, il est possible qu'une version de Koxic Ransomware qui a infiltré votre système soit encore en cours de développement et de test.