Ransomware

Un nouveau cryptovirus appelé LuciferCrypte est entré dans le jeu il y a quelques jours pour crypter des données personnelles. Tant que l'étude dure, il est déjà évident que ce ransomware restreint l'accès aux données en attribuant une extension à longue chaîne (.id=[].email=[].LuciferCrypt). Une illustration rapide d'un échantillon infecté ressemblerait à ceci 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Une fois le processus de cryptage terminé, le virus continue sa présence en créant un fichier texte appelé HowToRecoverFiles.txt. Dans ce document, les extorqueurs avertissent les victimes de la réussite du chiffrement. Pour revenir en arrière, les victimes doivent contacter les cybercriminels par e-mail et payer des frais pour récupérer les fichiers. Une fois cela fait, vos données seront décryptées automatiquement, sans aucune manipulation. On dit aussi que le prix dépend directement de la rapidité avec laquelle vous répondez aux escrocs. Avant de faire cela, vous êtes également autorisé à profiter du décryptage gratuit. Les développeurs proposent d'envoyer jusqu'à 3 fichiers (moins de 4 Mo et non archivés), qui ne doivent pas contenir d'informations précieuses.

Après Pompe Ransomware attaque votre système, toutes les données sont enchaînées par des algorithmes puissants qui en limitent l'accès. Le malware ajoute .pompe l'extension aux fichiers qu'il code. Par exemple, un fichier comme 1.mp4 va acquérir un nouveau look de 1.mp4.pump et réinitialisez son icône d'origine. L'extension appliquée à la fin signifie que vos fichiers sont sous cryptage. Ces modifications s'accompagnent généralement de la création d'instructions de rançon. Dans notre cas, le virus supprime un fichier texte appelé README.txt cela vous aidera à récupérer les fichiers. Le contenu présenté à l'intérieur est court, les cybercriminels n'ont joint leur adresse e-mail que pour appeler les victimes à les contacter. Ensuite, ils donneront soi-disant des instructions supplémentaires sur la façon d'acheter le logiciel de décryptage. Quel que soit le prix, se conformer aux demandes des escrocs est risqué - ils peuvent devenir stupides dans leurs promesses et ne vous laisser aucun outil même après avoir effectué un paiement.

Rançongiciel MARS est un programme malveillant découvert par Michael Gillespie. La façon dont il crypte les fichiers est très similaire à d'autres infections de ce type - en ajoutant le nouveau .Mars or .vyb extension pour mettre en évidence les données concernées. Les victimes verront leurs fichiers se transformer en quelque chose comme ça 1.mp4.mars or 1.mp4.vyb. À la suite de ces actions, les fichiers ne peuvent en aucun cas être ouverts ou manipulés par les utilisateurs. Pour le réparer et récupérer vos données, les cybercriminels proposent de lire les instructions dans une note textuelle (!!! MARS_DECRYPT.TXT) créé après le cryptage. Il vous informe que divers types de données stockés sur votre PC ont été cryptés avec le virus. Pour le rétablir, les gens doivent payer 500 $ en BTC pour la clé de déchiffrement. Avant de le faire, les extorqueurs insistent fortement pour envoyer jusqu'à 3 fichiers pour un décryptage gratuit pour s'assurer de leur fiabilité. Après cela, l'équipe des cybercriminels répondra avec le lien de paiement pour l'achat de leur logiciel. Vous pouvez également contacter les développeurs via Telegram et acheter la clé immédiatement sans tester le décryptage gratuit. Bien que ces fonctionnalités fournies par les escrocs puissent inspirer la confiance dans leurs intentions, il est recommandé de ne pas s'entendre sur ce qu'ils disent, car il n'y a aucune garantie réelle qu'ils retourneront vos données en toute sécurité et en bon état.

Ingénierie de fichiers est un exemple d'infection par ransomware configurant les fichiers des victimes pour en restreindre l'accès. La plupart du temps, les utilisateurs ne détectent pas les logiciels malveillants entrant dans les systèmes. Il était une fois, ils finissent par voir leurs données modifiées et verrouillées d'un accès régulier. FileEngineering le fait de cette façon - en attribuant l'identité des victimes, l'adresse e-mail du cybercriminel et .crypté extension à la des fichiers. Il existe deux versions de FileEngineering diffusées sur le Web. La seule différence réside dans l'utilisation d'adresses e-mail différentes pour contacter les escrocs. Par exemple, vous pouvez voir vos données apparaître comme 1.mp4.id=[BE38B416] Email=[FileEngineering@mailfence.com].encrypted or id=[654995FE] Email=[FileEngineering@rape.lol].encrypted selon la version affectée de votre PC. Ensuite, l'étape suivante de l'activité de FileEngineering consiste à créer une note appelée Récupérez vos fichiers! .Txt qui contient des informations concernant le décryptage. À l'intérieur, les informations sont adressées par un soi-disant ingénieur de sécurité. Il dit que vous devriez le contacter par e-mail et payer une certaine quantité de Bitcoin. Ensuite, il vous rendra vos fichiers décryptés et vous donnera quelques conseils pour améliorer votre sécurité. Avant cela, vous êtes également autorisé à envoyer un petit fichier pour prouver qu'il peut déverrouiller vos données. Faire confiance aux cybercriminels est toujours un risque énorme, c'est donc à vous de décider si vous le voulez ou non. Si les fichiers ne sont pas d'une grande valeur pour vous, vous pouvez simplement supprimer FileEngineering et continuer à utiliser votre PC.

Dimanche or Crypte du Soleil est classé comme des systèmes d'attaque de cryptovirus pour crypter les données personnelles. Il a commencé son voyage en octobre 2019 et continue sa présence en infectant les utilisateurs jusqu'à ces jours. Le moment où SunCrypt peut être repéré sur votre PC est lorsqu'il modifie vos fichiers en ajoutant le .sun extension. On a également entendu parler d'une autre version de SunCrypt qui applique une chaîne de symboles aléatoires au lieu d'extensions. Un changement à quelque chose comme ça 1.mp4.sun or 1.mp4.G4D3519X58293C283957013M35DC8A2V0748D9845E7A5DBD6590E3F834C4638 signifie que vous n'êtes plus autorisé à accéder à vos données. Pour le récupérer, SunCrypt crée des notes de texte (DECRYPT_INFORMATION.html or VOS_FICHIERS_SONT_ENCRYPTED.HTML) qui contiennent des instructions de rançon. Bien que SunCrypt soit principalement orienté vers les utilisateurs anglophones, vous avez également la possibilité de basculer entre l'allemand, le français et l'espagnol. Cela augmente de loin le trafic de victimes permettant aux développeurs d'étendre leur activité. Comme indiqué dans la note, les victimes doivent installer le navigateur Tor et cliquer sur "Accéder à notre site Web" pour acheter le logiciel de décryptage. Les frais exigés peuvent varier en fonction du cas individuel, cependant, peu importe leur niveau, nous vous déconseillons de courir un tel risque.

Dharma-259 est une infection de type ransomware appartenant à la famille Dharma. Ce groupe de développeurs a eu le plus grand impact sur l'industrie des logiciels malveillants. Disposer d'une gamme de programmes malveillants259 complète la liste et crypte les données personnelles avec des algorithmes puissants qui empêchent les utilisateurs d'y accéder régulièrement. En conséquence, toutes les données changent de nom avec une chaîne de chiffres comprenant l'identifiant personnel, l'e-mail du cybercriminel et .259 extension à la fin de chaque fichier. Par exemple, ordinaire 1.mp4 vivra un changement à quelque chose comme ça 1.mp4.id-C279F237.[259461356@qq.com].259 et réinitialisez son icône par défaut. Ensuite, une fois le processus de cryptage terminé, le virus ouvre de force une fenêtre contextuelle et crée une note textuelle appelée FILES ENCRYPTED.txt, qui contiennent tous deux des informations sur la récupération de données. Comme indiqué à la fois dans la fenêtre contextuelle et dans la note, les victimes doivent contacter les escrocs par e-mail avec une pièce d'identité personnelle. En plus de cela, vous êtes autorisé à envoyer jusqu'à 1 fichier (moins de 1 Mo) pour un déchiffrement gratuit. Ensuite, une fois que les extorqueurs auront reçu votre message, vous serez guidé avec des étapes sur la façon d'acheter un logiciel de décryptage. Parfois, les frais requis peuvent monter en flèche au-delà des limites, devenant inabordables pour la plupart des utilisateurs. Même si vous êtes prêt à enrichir les cybercriminels en achetant leur logiciel, nous vous le déconseillons, car la plupart des utilisateurs signalent un risque élevé d'être dupé et n'obtiennent aucun outil pour restaurer les données.

Développé par un groupe d'extorsionnistes turcs, SifreCikis est une infection par ransomware cryptant des données personnelles et exigeant des frais de récupération. Il crée un chiffrement fort sur les données sensibles à l'aide d'algorithmes AES et RSA. En conséquence, le décryptage des fichiers devient difficile à réaliser, même avec des outils tiers. Toutes les données chiffrées par SifreCikis obtiennent une nouvelle extension basée sur ces modèles: . {séquence alphanumérique aléatoire}. Par exemple, un fichier comme 1.txt changera en quelque chose comme ça 1.txt.E02F4934FC5A. Ensuite, une fois le cryptage terminé, les utilisateurs rencontrent une note appelée ***N / A*** qui contient des instructions de rançon. Malheureusement, le contenu de la note est difficile à concevoir pour les locuteurs non natifs, cependant, un groupe de chercheurs l'a traduite et a présenté certaines informations clés. Il affirme que vous devez contacter les cybercriminels par e-mail et joindre votre identifiant personnel dans le sujet du message. Ensuite, vous recevrez des instructions supplémentaires pour acheter le logiciel de décryptage (500 $ en BTC). S'il n'y a pas de réponse des extorqueurs, vous devriez lire les informations via le lien dans le navigateur Tor. Les chercheurs de logiciels malveillants ont repéré le nom de domaine en commençant par sifrecikx, qui est en accord avec cikis sifre (signifiant "chiffrement / mot de passe + sortie" en turc). En outre, au cours de l'enquête, les chercheurs ont défini que SifreCikis pourrait être un frère de SifreCozucu, car il semble très similaire avec des différences mineures.

Tripoli classée comme une infection ransomware destinée à provoquer le cryptage des données personnelles. Habituellement, la cible principale est les photos, vidéos, documents et autres fichiers pouvant stocker des données sensibles. Une fois que ce virus a attaqué votre système, tous les fichiers seront affectés par le .crypté extension. Certaines victimes ont signalé cette extension comme .Tripoli existe également, ce qui signifie qu'il existe deux versions de Tripoli Ransomware. En fait, peu importe lequel a pénétré votre PC, car leur fonctionnement est presque le même. En raison du cryptage, tous les fichiers seront interdits d'accès normal, les utilisateurs ne pourront plus les ouvrir ou les modifier. Pour y remédier, les extorqueurs proposent de suivre les étapes répertoriées dans une note textuelle (HOW_FIX_FILES.htm). Les étapes obligent les victimes à installer le navigateur Tor et à acheter un logiciel de décryptage en suivant l'adresse ci-jointe. La décision d'effectuer le paiement doit être prise dans les 10 jours. Nous insistons pour ne pas agir sur des mesures frauduleuses car il n'y a aucune garantie qu'ils vous enverront les outils promis. Un meilleur moyen consiste à supprimer Tripoli Ransomware et à restaurer les fichiers perdus à partir d'une sauvegarde externe (stockage USB). Si vous n'en avez pas, essayez d'utiliser les instructions ci-dessous pour accéder à vos données.