Ransomware

payer est un programme ransomware qui infecte les systèmes Windows pour crypter les données personnelles. Il affecte la configuration des fichiers stockés les rendant totalement inaccessibles. Cela signifie que toute tentative d'ouverture des fichiers sera refusée en raison du cryptage. Outre les changements de configuration, Pagar Ransomware modifie également les données par des moyens visuels - en attribuant le .pagar40br@gmail.com extension à chaque fichier sous cryptage. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.pagar40br@gmail.com et réinitialiser son icône d'origine à vide. Une fois tous les fichiers cryptés, Pagar crée une demande de rançon appelée Avis urgent.txt, qui explique comment récupérer les données. Les développeurs de ransomwares sont concis et disent que vous avez 72 heures pour envoyer 0.035 BTC au portefeuille attaché. Juste après avoir effectué le paiement, les victimes doivent contacter les développeurs via pagar40br@gmail.com en joignant leur propre adresse de portefeuille et leur identifiant unique (écrit dans la note). Malheureusement, il n'y a aucune information sur la fiabilité des développeurs de Pagar.

Chaos est une famille de ransomware populaire qui diffuse un certain nombre de versions de logiciels malveillants. Lors de son infection, la plupart des fichiers stockés sur un système sont réajustés et ne sont plus accessibles. Cela est fait par les cybercriminels pour extorquer la soi-disant rançon aux victimes en échange du déblocage des données. À l'heure actuelle, il existe 4 versions les plus populaires propagées par Chaos - Axiom, Teddy, Encrypted et AstraLocker Ransomware. Tous les 4 attribuent leur propre extension tout en bloquant l'accès aux données. Par exemple, un fichier comme 1.pdf peut changer en 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encryptedou 1.pdf.astralocker selon la version qui a attaqué votre réseau. Initialement, Chaos s'appelait Ryuk .Net Ransomware, mais a ensuite été mis à niveau et a commencé à proliférer sous le nouveau nom. De plus, Ryuk.Net n'a imité que le cryptage avec des algorithmes AES + RSA, mais a en fait utilisé le codage Base64 pour endommager la structure des fichiers. Non exclu, la même chose peut également être rencontrée dans les versions plus récentes. Il est également possible de voir une version de Chaos ajouter une chaîne de caractères aléatoires aux fichiers cryptés - comme 1.pdf.us00, 1.pdf.wf1d, et ainsi de suite. Dès que le cryptage (ou le faux cryptage) se termine, le virus crée une note de texte avec des instructions sur la façon de récupérer vos données. Voici les noms ainsi que le contenu de chaque note textuelle créée par différentes versions (README.txt, read_it.txt, READ_ME_NOW.txt.

Tohnichi signifie un programme de ransomware qui modifie les extensions de fichiers, les rendant tous cryptés. .tohnichi est le nom de la nouvelle extension attribuée à chaque pièce compromise. Cela signifie que tous les fichiers cryptés apparaîtront comme ceci 1.pdf.tohnichi à la fin du processus. La dernière pièce du puzzle apporté par Tohnichi est Comment décrypter les fichiers.txt, le fichier texte créé par un malware pour expliquer les instructions de décryptage. Tout d'abord, il est indiqué que votre réseau a été piraté, ce qui a permis à des extorqueurs de crypter vos données. Ensuite, les cybercriminels se disent les seuls à pouvoir effectuer un décryptage sécurisé et complet des données. Pour cela, les victimes sont invitées à établir une communication à l'aide du lien du navigateur Tor et à payer pour un logiciel de décryptage. Le prix est gardé secret et dépend de la rapidité avec laquelle vous contactez les développeurs. Après avoir effectué le paiement, les développeurs promettent d'envoyer un outil de décryptage unique pour récupérer les données. En plus de cela, les développeurs de rançongiciels disent qu'ils peuvent déchiffrer plusieurs fichiers (qui ne contiennent pas d'informations précieuses) avant de payer la rançon gratuitement. C'est une bonne offre certes, mais encore insuffisante pour faire confiance aux cybercriminels à titre individuel.

Zeppelin a été découvert par GrujaRS, qui est un élément malveillant qui infecte les ordinateurs et crypte les données de l'utilisateur. Les programmes de ce type sont généralement conçus pour gagner de l'argent sur des utilisateurs désespérés qui ont verrouillé leurs fichiers. Comme d'habitude, avec le cryptage, il y a un changement significatif dans l'extension du fichier - il les renomme en utilisant le système numérique hexadécimal en quelque chose comme ça 1.mp4.126-A9A-0E9. En fait, l'extension peut varier selon les symboles car le virus peut générer des valeurs aléatoires. Une fois le cryptage terminé, Zepellin crée un fichier texte appelé !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT sur votre bureau. Dans cette note, les extorqueurs vous offensent avec des abus de rançon en vous appelant à les contacter et à acheter une clé spécifique. Malheureusement, il n'existe aucune méthode éprouvée qui pourrait déchiffrer vos données gratuitement à ce stade. La seule façon de le faire est de suivre leurs instructions, ce qui représente un risque énorme. Bien que la décision repose sur vos épaules, nous vous recommandons de supprimer Zeppelin Ransomware dans le guide ci-dessous.

MOSN est classé comme une infection par ransomware qui demande de l'argent aux victimes après avoir crypté les données. Normalement, de telles infections frappent tous les fichiers potentiellement importants comme les photos, les vidéos, les documents, les bases de données, etc., qui ont une certaine valeur pour les victimes. Le cryptage peut être repéré par de nouvelles extensions qui sont attribuées à chaque pièce compromise. Par exemple, un fichier nommé 1.pdf va changer pour 1.pdf.MOSN à la fin du cryptage. On verra la même chose avec d'autres données selon ce modèle. Puis, peu de temps après, MOSN installe de nouveaux fonds d'écran étendus sur tout l'écran qui affiche un bref résumé de la rançon. Il indique que les victimes doivent contacter les développeurs via walter1964@mail2tor.com adresse e-mail et payez 300$ en Bitcoin pour le rachat de données. De plus, MOSN Ransomware crée un fichier texte appelé INFORMATION_LIRE_MOI.txt cela explique la même chose mais mentionne également le nombre de fichiers cryptés et l'identifiant unique qui doivent être joints lors du contact avec les extorqueurs.

Divinité, Matafaka et Army sont trois infections de ransomware publiées par le groupe de développement connu sous le nom de Xorist. Une fois que votre système est infecté avec succès, un virus force la plupart des fichiers stockés à changer de nom. Selon la version qui a attaqué votre PC, toute image, vidéo, musique ou fichier de document comme 1.pdf va changer pour 1.pdf.divinity, 1.pdf.matafakaou 1.pdf.army. Une fois que chaque fichier a été modifié visuellement, les versions mentionnées ci-dessus affichent un message texte dans des fenêtres contextuelles ou des fichiers de bloc-notes (HOW TO DECRYPT FILES.txt). Le texte diffère pour chaque version. Pour illustrer, Matafaka et Army ne montrent pratiquement aucune information sur le décryptage des données. Ils mentionnent que votre PC est piraté, mais ne fournissent aucune information ou instruction de paiement pour restaurer les données. La raison en est peut-être que ces versions sont encore en cours de développement et de test. Il n'est pas exclu qu'il existe des versions complètes avec des instructions à part entière qui circulent déjà sur le Web. Divinity est la seule version de la liste ayant les coordonnées pour payer la rançon. Pour cela, les utilisateurs sont invités à écrire un message direct à @lulzed Telegram ou @dissimilate sur Twitter. Notez que la famille Xorist Ransomware utilise les algorithmes XOR et TEA pour crypter les données personnelles. Les données chiffrées par de tels chiffrements sont moins susceptibles d'être déchiffrables sans l'intervention de cybercriminels. Malgré cela, il est expressément déconseillé de répondre aux demandes de chiffres frauduleux.

Herrco est classé comme un programme de ransomware malveillant. Les logiciels malveillants de ce type recherchent des données importantes stockées sur un PC et en bloquent l'accès à l'aide d'algorithmes cryptographiques. La cible principale des développeurs Herrco se concentre sur les propriétaires d'entreprise qui gagnent soi-disant assez d'argent pour payer le décryptage des fichiers. Les extorqueurs derrière Herrco Ransomware ont configuré leur logiciel pour modifier toutes les données pertinentes avec le .herrco extension. Par exemple, un fichier nommé 1.pdf va changer de look pour 1.pdf.herrco à la fin du cryptage. Un tel changement est donc suivi de la création de Comment décrypter les fichiers.txt. Il s'agit d'un fichier texte destiné à expliquer le décryptage en détail. Il est dit que le seul moyen de récupérer vos données sur le réseau infecté est de contacter les développeurs et de payer la soi-disant rançon. Le prix est gardé secret et dépend de la vitesse à laquelle vous contactez les cybercriminels. Pour engager la conversation avec les cybercriminels, les victimes sont invitées à ouvrir le lien Tor et à remplir leur identifiant personnel, qui est indiqué en haut de la demande de rançon. Avant de le faire, il est également proposé d'envoyer quelques fichiers qui ne contiennent pas d'informations précieuses pour un décryptage gratuit.

Keversen est un virus de type ransomware qui cible un cryptage fort des données. Ceci est destiné à pousser les victimes à payer la soi-disant rançon afin de décrypter les fichiers bloqués. Toutes les instructions sur le processus de récupération sont révélées une fois que vos fichiers sont cryptés. Le virus Keversen renomme un large éventail de données personnelles (photos, vidéos, documents, bases de données, etc.) avec le .keversen extension. Pour illustrer, un fichier comme 1.pdf va changer pour 1.pdf.keversen juste après le cryptage. Tout cela se produit en un clin d'œil, il n'y a donc aucun moyen de l'empêcher à moins d'avoir installé un programme anti-ransomware spécial. Ensuite, juste après la fin de cette étape d'infection, Keversen Ransomware passe à côté de la création du !=READMY=!.txt note, qui jette quelques mots sur la façon de récupérer vos données.