Ransomware

Une nouvelle infection ransomware connue sous le nom de DEcovid19 est venu sur le Web et a provoqué de nombreuses attaques sur des PC non protégés. Le virus a été signalé le 11 janvier par des victimes désespérées avec des données cryptées. Sur la base des informations actuelles, il est clair que DEcovid19 bloque l'accès aux données en modifiant les extensions de fichier en .COVID-19 [feminine or .fermé à clé. Un exemple de l'original 1.mp4 impacté par le ransomware peut apparaître de deux manières: soit 1.mp4.locked or 1.mp4.covid19. Une fois le processus de chiffrement terminé, le programme malveillant crée une note textuelle (! DECRYPT_FILES.txt or ATTENTION !!!. Txt) destiné à expliquer les instructions de décryptage. À l'intérieur, les utilisateurs peuvent consulter rapidement les informations sur le virus. La partie suivante du texte est consacrée à la restauration de vos données. On dit que les utilisateurs contactent le robot de télégramme en attachant un identifiant personnel dans la ligne d'objet et en écrivant combien de PC doivent être déchiffrés. Il est également nécessaire d'envoyer 1 à 2 fichiers cryptés qui ne contiennent pas d'informations importantes (moins de 2 Mo) afin que les cybercriminels puissent faire correspondre le bon décodeur pour vos données. Le dernier, mais non le moindre, dit par les escrocs, ce sont les limites de temps - vous avez 72 heures pour prendre une décision et payer la clé de déchiffrement.

Fair Ransomware est l'une des nombreuses pièces dangereuses qui crypte le type de données personnelles. Il appartient à la famille des malwares connue sous le nom de Makop, qui a développé un certain nombre d'infections similaires. Une fois que Fair Ransomware attaque votre système, il installe certains scripts, qui bloquent l'accès à plusieurs fichiers en attribuant des extensions uniques. Ces extensions se composent d'un numéro d'identification personnel, du suffixe [fairexchange@qq.com] et .fair à la fin de chaque fichier. Un exemple de l'exemple d'origine qui a subi ces changements ressemble à ceci 1.mp4.[9B83AE23].[fairexchange@qq.com].fair. Alors que l'accès aux données n'est plus entre les mains des utilisateurs, les extorqueurs créent un fichier texte appelé readme-warning.txt dans chaque dossier contenant des fichiers cryptés. À l'intérieur de cette note, les cybercriminels expliquent brièvement aux personnes confuses ce qui est arrivé à leurs PC. Ensuite, les créateurs de Fair Ransomware disent qu'il est nécessaire d'acheter le logiciel de décryptage (en BTC) pour reprendre le contrôle des données. Ils proposent également de participer au "contrôle de garantie", permettant aux utilisateurs de décrypter gratuitement 2 fichiers de taille limitée. Malheureusement, même si de telles astuces doivent justifier l’intégrité des escrocs, les statistiques disent le contraire.

Aussi connu sous le nom WickrMe, Hello Ransomware est un virus dangereux qui crypte les données personnelles (photos, vidéos, documents, etc.). Comme d'autres infections de ce type, il exige également des frais à payer après le cryptage. Cependant, avant cela, Hello Ransomware modifie vos fichiers avec le nouveau .hello extension. Aucun symbole supplémentaire n'est inclus, donc vos fichiers ressembleront à ceci 1.mp4.hello et de même. Ensuite, une fois ces changements terminés, le virus crée une note textuelle (Readme!!!.txt) contenant des instructions de rançon. Dans ce document, les utilisateurs sont invités à contacter les cybercriminels via des e-mails joints ou Wickr Me (un messager privé). Par conséquent, ils recevront une liste d'étapes pour effectuer le paiement et récupérer les données compromises. Malheureusement, bien que les développeurs de ransomwares soient généralement les seuls à pouvoir déchiffrer vos données, nous ne recommandons pas de mettre en œuvre le paiement requis. Sinon, cela peut sembler être un gaspillage d'argent car il n'y a aucune garantie que vous obtiendrez le décryptage promis. Statistiquement, les extorqueurs ignorent les utilisateurs même après avoir terminé toutes les étapes. Ainsi, il est nécessaire de supprimer Hello Ransomware de votre ordinateur pour éviter un décryptage ultérieur des données.

Dharma est une famille de ransomwares considérée comme le plus grand développeur d'infections de ransomwares. De nombreuses versions ont été trouvées attaquant les utilisateurs avec un cryptage des données et des messages de demande de rançon. Cependant, l'une des versions récentes détectées comme étant active est connue sous le nom de YoAD Ransomware. Comme les virus similaires de ce type, il attribue le nouveau .yoAD extension avec identifiant aléatoire et e-mail des cybercriminels à chaque élément de données stocké sur un PC compromis. Par exemple, le fichier d'origine comme 1.mp4 aura un aperçu de 1.mp4.id-C279F237.[yourfiles1@cock.li].yoAD, ou de manière similaire. De telles modifications font que vos fichiers ne sont plus accessibles car toute tentative de les initier sera refusée. Ensuite, une fois ce processus terminé, le virus intervient avec la création d'instructions textuelles. Ils sont présentés dans le FILES ENCRYPTED.txt document directement sur votre bureau. Comme le prétendent les extorqueurs, la seule façon de restaurer vos données est de les contacter par e-mail. Ensuite, ils vous donneront soi-disant un crypto-portefeuille pour envoyer de l'argent en Bitcoin. Après cela, vous recevrez les outils nécessaires pour restaurer vos données. Malheureusement, cette méthode ne convient pas à tout le monde car les sommes demandées par les cybercriminels peuvent être astronomiquement élevées et pas faciles à payer.

Crypto-Locker Mijnal est une infection de type ransomware qui encode les données personnelles avec des algorithmes AES + RSA. L'application de tels moyens signifie que le chiffrement attribué est difficile à casser en utilisant les méthodes traditionnelles. En d'autres termes, il garantit que le décryptage manuel n'a pas lieu après le verrouillage des données. Malheureusement, dans la plupart des cas, cela semble vraiment impossible, mais vous devriez l'essayer après avoir lu ce texte. Comme les autres infections, Mijnal crypte vos données en changeant une extension de fichier en .mijnal. Par exemple, un échantillon tel que "1.mp4" sera modifié en "1.mp4.mijnal" et réinitialisera son icône d'origine. Une fois le processus de chiffrement terminé, le virus crée une note textuelle appelée "README_LOCK.txt" contenant les instructions de remboursement. Les informations présentées à l'intérieur sont rédigées en russe, ce qui signifie que les développeurs se concentrent principalement sur les régions de la CEI. Cependant, certains utilisateurs anglais peuvent également en être affectés. Si vous êtes prêt à déchiffrer vos données le plus tôt possible, les cybercriminels demandent aux victimes d'ouvrir le lien ci-joint via le navigateur Tor et de suivre les instructions à cet endroit. Ensuite, les extorqueurs vous demanderont plus probablement de payer un certain montant en Bitcoin pour avoir accès à vos données. Bien que le paiement de la rançon soit généralement la seule méthode pour surmonter le cryptage des données, nous vous déconseillons de répondre à toutes les demandes car cela peut également être dangereux pour votre poche et votre vie privée.

Leitkcad est un pur exemple de crypto-malware qui exécute le cryptage des données personnelles pour obtenir une soi-disant rançon. Les symptômes les plus vifs faisant allusion à la présence du Leitkcad sont l'attribution de .leitkcad extension. En d'autres termes, il sera vu à la fin de chaque fichier affecté par un malware. Par exemple, un fichier comme 1.mp4 sera changé en 1.mp4.leitkcad et réinitialisez son icône d'origine. Ensuite, une fois que tous les fichiers sont modifiés, le virus passe à la phase suivante en créant une note appelée help-leitkcad.txt. Il contient des informations sur le cryptage ainsi que des instructions pour restaurer vos données. Les cybercriminels disent que vous devez contacter un opérateur et remplir votre identifiant, votre clé personnelle et votre e-mail via la page de discussion. Le lien vers celui-ci ne peut être ouvert qu'en utilisant le navigateur Tor, qui doit être téléchargé par les victimes. Ensuite, après avoir établi le contact avec les cybercriminels, vous recevrez des instructions supplémentaires sur la façon d'acheter le logiciel de décryptage. En outre, il convient de noter que le redémarrage et la modification des fichiers cryptés peuvent entraîner une perte permanente. Les extorqueurs définissent certains algorithmes qui les aident à détecter votre activité. Cela signifie que si vous refusez de vous conformer à l'un des avertissements ci-dessus, vos fichiers seront momentanément supprimés.

Un nouveau cryptovirus appelé LuciferCrypte est entré dans le jeu il y a quelques jours pour crypter des données personnelles. Tant que l'étude dure, il est déjà évident que ce ransomware restreint l'accès aux données en attribuant une extension à longue chaîne (.id=[].email=[].LuciferCrypt). Une illustration rapide d'un échantillon infecté ressemblerait à ceci 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Une fois le processus de cryptage terminé, le virus continue sa présence en créant un fichier texte appelé HowToRecoverFiles.txt. Dans ce document, les extorqueurs avertissent les victimes de la réussite du chiffrement. Pour revenir en arrière, les victimes doivent contacter les cybercriminels par e-mail et payer des frais pour récupérer les fichiers. Une fois cela fait, vos données seront décryptées automatiquement, sans aucune manipulation. On dit aussi que le prix dépend directement de la rapidité avec laquelle vous répondez aux escrocs. Avant de faire cela, vous êtes également autorisé à profiter du décryptage gratuit. Les développeurs proposent d'envoyer jusqu'à 3 fichiers (moins de 4 Mo et non archivés), qui ne doivent pas contenir d'informations précieuses.

Après Pompe Ransomware attaque votre système, toutes les données sont enchaînées par des algorithmes puissants qui en limitent l'accès. Le malware ajoute .pompe l'extension aux fichiers qu'il code. Par exemple, un fichier comme 1.mp4 va acquérir un nouveau look de 1.mp4.pump et réinitialisez son icône d'origine. L'extension appliquée à la fin signifie que vos fichiers sont sous cryptage. Ces modifications s'accompagnent généralement de la création d'instructions de rançon. Dans notre cas, le virus supprime un fichier texte appelé README.txt cela vous aidera à récupérer les fichiers. Le contenu présenté à l'intérieur est court, les cybercriminels n'ont joint leur adresse e-mail que pour appeler les victimes à les contacter. Ensuite, ils donneront soi-disant des instructions supplémentaires sur la façon d'acheter le logiciel de décryptage. Quel que soit le prix, se conformer aux demandes des escrocs est risqué - ils peuvent devenir stupides dans leurs promesses et ne vous laisser aucun outil même après avoir effectué un paiement.