Ransomware

Divinité, Matafaka et Army sont trois infections de ransomware publiées par le groupe de développement connu sous le nom de Xorist. Une fois que votre système est infecté avec succès, un virus force la plupart des fichiers stockés à changer de nom. Selon la version qui a attaqué votre PC, toute image, vidéo, musique ou fichier de document comme 1.pdf va changer pour 1.pdf.divinity, 1.pdf.matafakaou 1.pdf.army. Une fois que chaque fichier a été modifié visuellement, les versions mentionnées ci-dessus affichent un message texte dans des fenêtres contextuelles ou des fichiers de bloc-notes (HOW TO DECRYPT FILES.txt). Le texte diffère pour chaque version. Pour illustrer, Matafaka et Army ne montrent pratiquement aucune information sur le décryptage des données. Ils mentionnent que votre PC est piraté, mais ne fournissent aucune information ou instruction de paiement pour restaurer les données. La raison en est peut-être que ces versions sont encore en cours de développement et de test. Il n'est pas exclu qu'il existe des versions complètes avec des instructions à part entière qui circulent déjà sur le Web. Divinity est la seule version de la liste ayant les coordonnées pour payer la rançon. Pour cela, les utilisateurs sont invités à écrire un message direct à @lulzed Telegram ou @dissimilate sur Twitter. Notez que la famille Xorist Ransomware utilise les algorithmes XOR et TEA pour crypter les données personnelles. Les données chiffrées par de tels chiffrements sont moins susceptibles d'être déchiffrables sans l'intervention de cybercriminels. Malgré cela, il est expressément déconseillé de répondre aux demandes de chiffres frauduleux.

Herrco est classé comme un programme de ransomware malveillant. Les logiciels malveillants de ce type recherchent des données importantes stockées sur un PC et en bloquent l'accès à l'aide d'algorithmes cryptographiques. La cible principale des développeurs Herrco se concentre sur les propriétaires d'entreprise qui gagnent soi-disant assez d'argent pour payer le décryptage des fichiers. Les extorqueurs derrière Herrco Ransomware ont configuré leur logiciel pour modifier toutes les données pertinentes avec le .herrco extension. Par exemple, un fichier nommé 1.pdf va changer de look pour 1.pdf.herrco à la fin du cryptage. Un tel changement est donc suivi de la création de Comment décrypter les fichiers.txt. Il s'agit d'un fichier texte destiné à expliquer le décryptage en détail. Il est dit que le seul moyen de récupérer vos données sur le réseau infecté est de contacter les développeurs et de payer la soi-disant rançon. Le prix est gardé secret et dépend de la vitesse à laquelle vous contactez les cybercriminels. Pour engager la conversation avec les cybercriminels, les victimes sont invitées à ouvrir le lien Tor et à remplir leur identifiant personnel, qui est indiqué en haut de la demande de rançon. Avant de le faire, il est également proposé d'envoyer quelques fichiers qui ne contiennent pas d'informations précieuses pour un décryptage gratuit.

Keversen est un virus de type ransomware qui cible un cryptage fort des données. Ceci est destiné à pousser les victimes à payer la soi-disant rançon afin de décrypter les fichiers bloqués. Toutes les instructions sur le processus de récupération sont révélées une fois que vos fichiers sont cryptés. Le virus Keversen renomme un large éventail de données personnelles (photos, vidéos, documents, bases de données, etc.) avec le .keversen extension. Pour illustrer, un fichier comme 1.pdf va changer pour 1.pdf.keversen juste après le cryptage. Tout cela se produit en un clin d'œil, il n'y a donc aucun moyen de l'empêcher à moins d'avoir installé un programme anti-ransomware spécial. Ensuite, juste après la fin de cette étape d'infection, Keversen Ransomware passe à côté de la création du !=READMY=!.txt note, qui jette quelques mots sur la façon de récupérer vos données.

INFA est un exemple d'infection par ransomware, qui chiffre différents types de données personnelles stockées sur un système. Une fois ce processus officiellement terminé, les victimes ne pourront plus accéder à leurs données. Infa Ransomware attribue une extension commune (.infa) à tous les fichiers compromis. Cela signifie un fichier comme 1.pdf sera changé en 1.pdf.infa ou de manière similaire selon le nom d'origine. Juste après que tous les fichiers aient été renommés, le virus force une note de texte appelée liremaintenant.txt à déposer sur votre bureau. Celui-ci contient des informations générales sur la façon de récupérer vos données. Comme indiqué dans la note, des fichiers tels que des photos, des vidéos, des documents et d'autres formats ont été cryptés. Pour effacer les chiffres annexés, les victimes sont priées de contacter les cybercriminels (via stevegabriel2000@gmail.com) et achetez une clé de déchiffrement spéciale. Le prix est égal à 0.0022 BTC, soit environ 95 $ au moment où nous écrivons cet article. Il est également mentionné qu'il y a 2 jours alloués pour le décryptage des fichiers. À moins que vous ne terminiez le paiement à temps, vos fichiers seront effacés du système. Le choix de payer le décryptage dépend de votre propre décision.

MedusaLocker est l'un des plus grands agrégateurs de ransomwares qui propage un certain nombre d'infections de logiciels malveillants. Tout comme les autres programmes de ransomware, le virus est destiné à crypter les données stockées sur PC et à exiger une rançon monétaire en échange d'un logiciel de décryptage. .krlock, .L54et .ever101 sont les versions les plus récentes publiées par MedusaLocker Ransomware. Ce sont aussi les extensions attribuées à chaque pièce compromise. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.krlock, 1.pdf.L54ou 1.ever101 selon la version qui a piraté votre système. Il n'y a pas de réelle différence dans la version qui a sauté sur votre réseau. Tous utilisent une combinaison d'algorithmes AES et RSA pour écrire des chiffrements sécurisés sur les données. Le seul aspect qui varie est les notes de texte de rançon créées après le cryptage. Bien que le contenu puisse différer mais contenir toujours plus ou moins le même message aux victimes infectées. Vous pouvez faire face à des notes de rançon nommées Recovery_Instructions.html, HOW_TO_RECOVER_DATA.html, ou similaire menant aux pages du navigateur.

Venimeux est un virus de type rançongiciel qui met la plupart des données stockées sous clé et exige la soi-disant rançon pour les récupérer. Ce processus est plus connu sous le nom de cryptage de fichiers car il existe des chiffrements cryptographiques appliqués par des logiciels malveillants à l'aide d'algorithmes AES-256. Outre le cryptage des fichiers au niveau de la configuration, Venomous les modifie également visuellement. Il combine les noms de fichiers originaux, les identifiants des victimes et .venimeux extension pour renommer les données compromises. Par exemple, un fichier comme "1.pdf" apparaîtra comme 1.pdf.FB5MMSJUD2WP.venomous à la fin du cryptage. Peu de temps après, Venomous passe à côté de la création d'un fichier texte appelé DÉSOLÉ POUR LES FICHIERS.txt qui stocke les instructions de décryptage. La note indique que toutes les données stockées sur votre système ont été infectées par des algorithmes puissants. Il est également prévenu de ne pas renommer ou modifier les fichiers cryptés car cela pourrait les casser. Pour assurer une récupération garantie et sans corruption des données, il est proposé aux victimes d'acheter des clés de déchiffrement stockées par des cybercriminels. Pour cela, les utilisateurs doivent envoyer leur identifiant personnel à @venomous_support via l'application Telegram ou contacter les extorqueurs en utilisant venimous.files@tutanota.com adresse e-mail. En plus de cela, il est également proposé de tester le décryptage gratuit avant de payer la rançon. Pour ce faire, les victimes sont invitées à ouvrir un lien Tor attaché à la note et à télécharger 1 échantillon crypté de données.

Faire partie du Dharma Ransomware famille, Dharma-TOR est un autre programme malveillant qui exécute le cryptage des données personnelles. En commettant cet acte, les développeurs forcent les victimes à payer la soi-disant rançon. Le premier signe de Dharma-Tor infectant votre système se reflète dans les nouvelles extensions de fichiers. Les cybercriminels attribuent l'identifiant personnel de la victime, son adresse de contact et .TOR extension à la fin de chaque fichier. Par exemple, 1.pdf ou tout autre fichier stocké sur votre système aura un nouveau look de 1.pdf.id-C279F237.[todecrypt@disroot.org].TOR, ou quelque chose de similaire. Peu de temps après que toutes les données aient été modifiées avec succès, Dharma-TOR propose une fenêtre contextuelle ainsi qu'un fichier texte appelé FILES ENCRYPTED.txt, qui est déposé sur le bureau. La fenêtre contextuelle et la note textuelle sont destinées à informer les victimes tout au long du processus de récupération. Il est dit que les utilisateurs doivent contacter les développeurs par e-mail indiqué dans l'extension avec leur identifiant personnel. En cas de non-réponse, les victimes sont invitées à choisir une autre adresse e-mail jointe à la note. Après avoir établi un contact réussi avec les cybercriminels, les utilisateurs sont susceptibles d'obtenir des instructions de paiement pour acheter le décryptage des données.

Utilisateurs infectés par Makop Ransomware verront leurs données bloquées d'un accès régulier et modifiées par des moyens visuels. Il existe différentes versions utilisées par les développeurs de Makop pour se propager sur les victimes. La seule vraie différence entre eux réside dans diverses extensions et adresses e-mail (.hindouisme, .gamigin, .dev0, etc.) utilisé pour renommer les fichiers cryptés. Le reste peut être décrit comme une pure réplication des versions précédentes de Makop par un modèle. Une fois que ce virus s'est installé dans un PC, presque toutes les données disponibles se verront attribuer un identifiant de victime unique, une adresse e-mail de contact et une extension aléatoire en fonction de la version utilisée sur votre système. Par exemple, un fichier comme 1.pdf sera changé en quelque chose comme ça 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduism, ou de la même manière avec d'autres extensions comme .gamigin, .dev0 ou .makop. Peu de temps après la fin de cette partie du cryptage, le virus laisse tomber une note de texte appelée readme-warning.txt dans chaque dossier contenant des données compromises. La note répertorie un certain nombre d'éléments de questions-réponses expliquant les détails de la récupération. On dit que les utilisateurs ont le seul moyen de restaurer les données - payer pour le décryptage en Bitcoins. Les instructions de paiement ne seront obtenues qu'après prise de contact par e-mail (hindouisme0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.io, ou autre adresse). De même, les extensions, les adresses de contact sont une partie de l'équation variant également d'une personne à l'autre.