Ransomware

DeltaPlus est un virus de type rançongiciel qui utilise des algorithmes cryptographiques pour crypter les données personnelles. Il attribue des chiffrements forts qui sont difficiles à décoder sans outils de décryptage spéciaux détenus par les cybercriminels eux-mêmes. Pour acheter ces outils, les victimes sont priées d'envoyer l'équivalent de 6,000 3,000 USD en BTC à une adresse cryptographique. Le prix du décryptage peut également être réduit à 72 XNUMX USD si vous parvenez à effectuer le paiement dans les XNUMX heures suivant l'infection. Toutes ces informations sont divulguées à l'intérieur de la note de texte appelée Aide à restaurer vos fichiers.txt, qui est créé dès que le chiffrement des fichiers est terminé. Delta Plus ajoute le .delta extension à tous les fichiers concernés. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.delta et perdre son icône d'origine. Après ces changements, les utilisateurs ne pourront plus accéder à leurs fichiers tant qu'ils n'auront pas payé la rançon requise.

Découvert par Tomas Meskauskas, Koxic est considéré comme une infection par ransomware qui fonctionne en cryptant les données stockées sur PC. En d'autres termes, la majorité des fichiers comme les photos, les vidéos, la musique et les documents seront bloqués par le virus pour empêcher les utilisateurs d'y accéder. Tous les fichiers cryptés sont également nouveaux .KOXIQUE or .KOXIC_PLCAW prolongements. Cela signifie des fichiers cryptés comme 1.pdf va changer pour 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Le même modèle sera appliqué aux données résiduelles cryptées par un ransomware. Après avoir fait les choses avec le cryptage, le virus crée une note de texte qui explique les instructions de rançon. Ces instructions indiquent que les victimes doivent contacter les développeurs via koxic@cock.li or koxic@protonmail.com e-mails avec leur identifiant personnel. Cet identifiant peut être trouvé attaché à la demande de rançon. Si cela n'est pas visible, il est possible qu'une version de Koxic Ransomware qui a infiltré votre système soit encore en cours de développement et de test.

Porno est classé comme une infection ransomware qui cible le cryptage des données personnelles. Les fichiers tels que les photos, les documents, la musique et les vidéos sont les plus susceptibles d'être cryptés par Porn Ransomware. Pour différencier les fichiers cryptés des fichiers normaux, les développeurs attribuent le .porno extension à chaque échantillon compromis. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.porn et réinitialiser son icône d'origine. Après cela, le virus commence à exiger la soi-disant rançon pour récupérer vos données. Ces informations peuvent être vues dans une fenêtre contextuelle ou une note textuelle appelée RÉCUPÉRER__.porn.txt. À l'intérieur de cette note et de cette fenêtre contextuelle, les cybercriminels affichent le nombre de fichiers qu'ils ont déchiffrés. Pour effacer les chiffrements attribués, les développeurs de porno demandent aux victimes d'envoyer 1 BTC à l'adresse cryptographique jointe et de leur envoyer un e-mail avec l'ID de transaction par la suite. Malheureusement, peu de victimes peuvent se permettre de payer le prix de 1 BTC (42,000 XNUMX USD).

Octet noir est le nom d'un casier de données qui crypte les fichiers stockés sur un appareil. Un tel malware est plus connu sous le nom de ransomware car il extorque de l'argent aux victimes pour la récupération de données. Même si BlackByte est nouveau et peu observé, il y a suffisamment de détails pour le différencier des autres infections. L'un d'eux est le .blackbyte extension qui est ajoutée à chaque fichier crypté. Par exemple, une pièce comme 1.pdf changera son extension en 1.pdf.blackbyte et réinitialisez l'icône d'origine. La prochaine étape après le cryptage de toutes les données disponibles est la création d'une demande de rançon. BlackByte génère le BlackByte_restoremyfiles.hta fichier, qui affiche les détails de la récupération. À l'intérieur, les victimes sont invitées à contacter les cybercriminels par e-mail. Cette action est obligatoire pour recevoir des instructions supplémentaires sur la façon d'acheter un décrypteur de fichiers. Ce décrypteur est unique et détenu uniquement par les cybercriminels. Le prix de la rançon peut varier d'une personne à l'autre pour atteindre des centaines de dollars. Gardez à l'esprit que payer la rançon est toujours un risque de perdre votre argent pour rien. De nombreux extorqueurs ont tendance à tromper leurs victimes et à n'envoyer aucun instrument de décryptage même après avoir reçu l'argent demandé. Malheureusement, aucun décrypteur tiers ne peut garantir le décryptage à 100 % des fichiers BlackByte.

Ranion est un groupe de logiciels malveillants qui développe et propage des infections de ransomware. Sa version récente s'appelle R44s, qui crypte les données à l'aide d'algorithmes cryptographiques puissants, puis demande de l'argent pour son rachat. Les victimes peuvent repérer que leurs fichiers ont été cryptés par des moyens visuels. Premières versions de Ranion Ransomware découvertes en novembre 2017 utilisées .une rançon extension. Maintenant le virus assigne la plaine .r44s extension à toutes les pièces compromises. Voici un exemple rapide de la façon dont les fichiers se présenteront après un cryptage réussi - 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44s, et ainsi de suite en fonction du nom du fichier d'origine. Juste après la fin de ce processus de cryptage, R44s crée un fichier HTML nommé LISEZMOI_TO_DECRYPT_FILES.html.

Découvert par un chercheur de logiciels malveillants nommé S!Ri, Artemis appartient à la famille des ransomwares PewPew. Les fraudes derrière cette famille ont propagé un certain nombre d'infections à haut risque qui exécutent le cryptage des données. Artemis est la variante la plus récente du chiffrement de fichiers qui coupe l'accès à la plupart des données stockées à l'aide d'algorithmes cryptographiques multicouches. Ces algorithmes rendent les données entièrement cryptées, ce qui empêche les utilisateurs de les ouvrir. En plus de cela, les fichiers cryptés verrouillés par Artemis sont également modifiés de manière visuelle. Par exemple, un fichier comme 1.pdf va changer pour quelque chose comme 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis et réinitialiser son icône d'origine. Cette chaîne se compose de l'ID des victimes, khalate@tutanota.com adresse e-mail, et .artémis prolongation à la fin. Ensuite, dès que le chiffrement est terminé, Artemis invite le info-decrypt.hta pour apparaître sur tout l'écran. Les versions récentes de l'utilisation de logiciels malveillants Lisez-moi-[victim's_ID].txt nom et utilisation de la demande de rançon .ultime ainsi que .999 rallonges (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate et 1.pdf.id[victim's_ID].[restorediscus@gmail.com].999).

Bonjour est un programme malveillant classé comme ransomware. Son objectif principal est de gagner de l'argent sur les victimes dont les données ont été cryptées avec des chiffrements puissants. Habituellement, les victimes finissent par être au courant de l'infection après que GoodMorning attribue une nouvelle extension complexe aux fichiers compromis (se terminant par .Bonjour, .FERMÉ À CLÉ or .RÉEL). Par exemple, 1.pdf et d'autres fichiers stockés sur un système seront modifiés selon ce modèle 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. L'ID à l'intérieur des extensions différera individuellement car il est unique à chacune des victimes. Ensuite, une fois que tous les fichiers sont cryptés et visuellement modifiés, le virus crée des notes de texte appelées soit Bonjour.txt, Lisez-le.txt or ReadMe.txt. Il est destiné à expliquer des instructions plus larges sur la façon de récupérer vos données.

payer est un programme ransomware qui infecte les systèmes Windows pour crypter les données personnelles. Il affecte la configuration des fichiers stockés les rendant totalement inaccessibles. Cela signifie que toute tentative d'ouverture des fichiers sera refusée en raison du cryptage. Outre les changements de configuration, Pagar Ransomware modifie également les données par des moyens visuels - en attribuant le .pagar40br@gmail.com extension à chaque fichier sous cryptage. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.pagar40br@gmail.com et réinitialiser son icône d'origine à vide. Une fois tous les fichiers cryptés, Pagar crée une demande de rançon appelée Avis urgent.txt, qui explique comment récupérer les données. Les développeurs de ransomwares sont concis et disent que vous avez 72 heures pour envoyer 0.035 BTC au portefeuille attaché. Juste après avoir effectué le paiement, les victimes doivent contacter les développeurs via pagar40br@gmail.com en joignant leur propre adresse de portefeuille et leur identifiant unique (écrit dans la note). Malheureusement, il n'y a aucune information sur la fiabilité des développeurs de Pagar.