Ransomware

FLAMINGO est un élément malveillant conçu pour bloquer l'accès aux données de l'utilisateur en exécutant un cryptage avec des algorithmes cryptographiques. Malgré le ransomware est relativement nouveau, on sait déjà qu'il utilise le .FLAMANT extension pour crypter les données. Par exemple, un fichier comme 1.mp4 va changer pour 1.mp4.FLAMINGO après un cryptage réussi. Après cela, les utilisateurs reçoivent les étapes de décryptage situées dans une note textuelle appelée #LISEZ-MOI.txt. Selon eux, les victimes doivent envoyer un fichier de test par e-mail (pas plus de 3 Mo) pour prouver les capacités de décryptage des cybercriminels. Ensuite, vous obtiendrez une réponse avec des instructions pour acheter (en BTC) un outil de décryptage. Nous devons vous informer que la manipulation de fichiers, le redémarrage ou l'arrêt de votre PC peuvent être imprévisiblement dangereux pour vos données. Habituellement, les développeurs de ransomwares créent des valeurs spéciales qui suppriment complètement les données si des tentatives de modification sont détectées. Malheureusement, le moyen à 100% de récupérer des données cryptées par FLAMINGO n'a pas encore été trouvé. Vous ne pouvez désinstaller le virus que pour empêcher un cryptage supplémentaire. Le décryptage peut être possible mais doit être testé individuellement.

En cours de développement par le Phobos Ransomware famille, manchette met en place un verrouillage fort sur les données des victimes en exécutant le cryptage avec des algorithmes cryptographiques. Cela limite donc toute tentative de récupération complète des données. Une fois l'attaque commise, vous pouvez voir vos fichiers changer pour quelque chose comme ça 1.mp4.id[C279F237-2275].[unlockfiles2021@cock.li].Acuff, ce qui prouve que vos fichiers ont été infectés. Acuff Ransomware utilise l'identifiant de la victime, l'e-mail des cybercriminels et .Cuff extension pour mettre en évidence les données cryptées. Afin d'aider les utilisateurs à restaurer leurs données, les extorqueurs proposent de parcourir les instructions de décryptage de la liste des notes. Les informations se trouvent dans deux fichiers appelés info.hta ainsi que info.txt qui sont créés après le cryptage. La première étape sur le chemin du décryptage consiste à contacter les cybercriminels via une adresse e-mail en joignant votre identifiant généré personnellement (unlockfiles2021@cock.li or decryfiles2021@tutanota.com). Après cela, les escrocs répondront avec des détails sur la façon d'acheter un logiciel de décryptage. Avant cela, il vous est également proposé d'envoyer jusqu'à 5 fichiers (moins de 4 Mo et non archivés) pour un décryptage gratuit. Bien que cette activité puisse sembler digne de confiance, nous vous déconseillons de répondre aux exigences fixées par les développeurs de logiciels malveillants. Ce serait un risque de payer une grosse somme d'argent pour la récupération de fichiers.

Bondy est une infection de type ransomware qui cible différents types de données en exécutant un cryptage avec de puissants algorithmes RSA. Il est généralement distribué en deux versions: attribue d'abord le .bondy extension tandis qu'un autre utilise .relier pour crypter les fichiers des victimes. Ainsi, les données infectées apparaîtront comme 1.mp4.bondy or 1.mp4.connect selon la version qui a attaqué votre système. La dernière et la plus importante partie de l'activité des ransomwares est la création d'une note textuelle (HELP_DECRYPT_YOUR_FILES.txt) pour expliquer les instructions de décryptage. Il est affirmé que vos données ont été cryptées avec RSA, qui est un algorithme cryptographique asymétrique nécessitant une clé privée pour déverrouiller les données. Une telle clé est stockée sur le serveur des cybercriminels. Il ne peut être obtenu qu'en payant 500 $ en Bitcoin via le portefeuille attaché dans la note. De plus, les extorqueurs proposent de déchiffrer 1 fichier gratuitement comme preuve qu'ils peuvent être dignes de confiance. En fait, tout peut aller dans l'autre sens - les cybercriminels vous tromperont et ne fourniront aucun outil pour récupérer vos données. Les statistiques montrent que cela arrive à de nombreux utilisateurs qui s'aventurent à payer une rançon. Puisqu'il n'y a pas d'outils gratuits qui pourraient débloquer vos données, le seul et le meilleur moyen est de récupérer des fichiers à partir d'une sauvegarde externe, si elle a été créée avant l'attaque.

Déterminé par Karsten Hahn, Générateur de connexion Netflix est un programme malveillant classé comme ransomware. Initialement, il est présenté comme un outil permettant de créer un compte Netflix gratuitement, sans acheter d'abonnement. Cependant, au lieu de cela, le programme lance la configuration d'un ransomware qui crypte les données personnelles (avec les algorithmes AES-256). Cela devient une vraie surprise pour les utilisateurs inexpérimentés quand ils voient leurs données verrouillées et plus accessibles. Les données chiffrées sont clairement visibles grâce à la nouvelle extension attribuée à chaque fichier. Par exemple, l'échantillon original comme 1.mp4 obtiendra un nouveau look de quelque chose comme ça 1.mp4.se. Puis, peu de temps après le cryptage, le virus laisse tomber une note appelée Instructions.txt changer les fonds d'écran du bureau en contenu inclus dans la note générée. Les informations ci-jointes suggèrent les étapes à suivre pour déchiffrer les données. Pour ce faire, les extorqueurs demandent la transaction de 100 $ égale à Bitcoin. Un fait intéressant et particulier est que Netflix Login Generator peut se terminer automatiquement si votre système n'est pas basé sur Windows 7 ou 10. Quoi qu'il en soit, si ce malware persiste dans votre système, vous devez le supprimer et récupérer les données à l'aide d'un copie de fichiers.

CONSERVATEUR est une autre version des infections par ransomware qui met en place un verrou sur les données des victimes exigeant des frais pour leur retour. Le symptôme de base de CURATOR laissant ses traces dans votre système est l'apparition de nouvelles extensions sur les fichiers affectés. Par exemple, un fichier comme 1.mp4 émergera comme 1.mp4.CURATOR après avoir interagi avec un ransomware. Pour récupérer vos données, les extorqueurs proposent de lire les instructions dans le ! = HOW_TO_DECRYPT_FILES = !. txt notez qu'il est créé peu de temps après le cryptage. Selon la note fournie, les attaquants ont chiffré vos fichiers avec des algorithmes puissants (ChaCha + AES), qui limitent les tentatives de restauration de fichiers par vous-même. En conséquence, le seul moyen possible semble d'acheter la clé de décryptage stockée sur le serveur des cybercriminels. Une fois que vous avez pris une décision, les extorqueurs vous demandent de bien vouloir les contacter par e-mail pour obtenir des instructions supplémentaires. Vous pouvez également profiter d'une offre spéciale - envoyez jusqu'à 3 fichiers (pas plus de 5 Mo) pour un décryptage gratuit. Bien qu'une telle décision puisse inspirer confiance aux utilisateurs crédules, nous vous déconseillons de payer la rançon. Il y a toujours un risque de perdre de l'argent et de ne recevoir aucun des outils promis pour la récupération de données.

Faire partie du Dharma famille, Dharma-BLM est un élément malveillant qui poursuit un gain financier en cryptant des données personnelles. Pour ce faire, il attribue une chaîne de symboles comprenant un identifiant unique, le courrier électronique des cybercriminels et .blm extension à la fin de chaque fichier. Voici un exemple de l'apparence des données infectées 1.mp4.id-C279F237.[blacklivesmatter@qq.com].blm. Lorsque le processus de cryptage est terminé, le virus passe à l'étape suivante et crée une note textuelle (FILES ENCRYPTED.txt) contenant des instructions de rançon. Le message justifie que toutes les données ont été cryptées avec succès et nécessite une action dans les 24 heures - pour contacter les cybercriminels par e-mail et recevoir les détails de paiement pour acheter les outils de décryptage. Les victimes sont également averties que toute manipulation avec des fichiers comme le changement de nom entraînera une perte permanente. De plus, les développeurs vous proposent d'envoyer un fichier pour un décryptage gratuit, ce qui a été une astuce utilisée par de nombreux créateurs de ransomwares pour susciter la confiance des utilisateurs crédules et conclure un accord. Malheureusement, le plus souvent, le décryptage des données sans l'implication des développeurs ne donnera aucun résultat, à moins que le ransomware ne contienne des bogues ou des failles qui permettront à des outils tiers de déchiffrer le chiffrement attribué.

BitRansomware est connu comme un virus de cryptage de fichiers destiné à bloquer les données de l'utilisateur et à les garder sous clé jusqu'à ce qu'une rançon soit payée. Ces logiciels malveillants rapportent beaucoup d'argent aux utilisateurs inexpérimentés qui n'ont d'autre choix que de payer des frais car leurs données sont cryptées avec des chiffrements incassables. Imaginez que toutes vos données personnelles deviennent inaccessibles - c'est ce que fait BitRansomware. Il attribue le nouveau .lisez-moi extension à la fin de chaque fichier pour les mettre en évidence par rapport aux originaux. Un échantillon de données chiffrées ressemble à ceci 1.mp4.readme. Après ce processus, les extorqueurs afficheront une note textuelle appelée Lisez-moi.txt expliquant le processus de décryptage. Il est dit que tous les fichiers importants ont été cryptés avec succès et que le seul moyen possible de mettre en œuvre un décryptage complet est de payer des frais via un lien Tor joint dans la note. C'est généralement la vérité, car les fichiers ne peuvent être décryptés que si le ransomware contient des failles ou des bogues ignorés par les développeurs. Quoi qu'il en soit, nous ne recommandons pas de payer une rançon, car faire confiance aux extorqueurs est une chose assez délicate.

LockDown est un logiciel de cryptage de fichiers créé pour gagner de l'argent sur des utilisateurs non protégés. Le virus agit à l'aide d'algorithmes AES + RSA pour mettre en place un cryptage fort sur les données stockées et les ajouts .Confinement extension. De nombreux types de données seront modifiés selon cet exemple 1.mp4.LockDown. Une fois le cryptage terminé, LockDown crée une note textuelle (HELP_DECRYPT VOS FICHIERS) contenant des instructions de rançon. On dit aux utilisateurs que seule une clé privée détenue par des cybercriminels peut conduire à un décryptage réussi des données. Pour l'obtenir, les victimes doivent envoyer environ 460 $ de Bitcoin dans le portefeuille attaché. Bien que les extorqueurs prouvent ostensiblement leur intégrité en permettant aux utilisateurs de déchiffrer 1 fichier gratuitement, nous déconseillons toujours de payer la rançon, car il y a un risque que les escrocs ne fournissent pas d'outils de récupération à terme. Pour l'instant, il n'y a pas d'outils officiels qui pourraient garantir un décryptage de fichiers à 100%.