Ransomware

Retour au 2016, KeRanger est devenu le tout premier ransomware à attaquer les utilisateurs de Mac. La plupart des utilisateurs ont été époustouflés lorsqu'ils ont réalisé que leurs données étaient verrouillées car ils avaient téléchargé un client BitTorrent légitime appelé Transmission. À ce moment-là, les cybercriminels ont réussi à pirater leur site Web et à intégrer un virus de cryptage de fichiers dans une nouvelle version qui était sur le point de sortir. Par conséquent, les utilisateurs ont détecté par inadvertance une attaque de logiciel malveillant en mettant à jour l'application précédemment installée. Malheureusement, les laboratoires n'ont pas identifié la mesure appropriée pour décrypter les données infligées. Au lieu de cela, les victimes proposent une solution payante qui achète un programme de décryptage. La transaction doit être effectuée via le navigateur Tor en payant 1 BTC (environ 407 à ce moment-là), maintenant Bitcoin représente environ 5,260 $. Les extorqueurs affirment également qu'ils répondront à toutes vos questions si vous êtes vraiment motivé à payer une rançon. Vous pouvez également décrypter 1 fichier via la page Tor liée dans la note. Comme mentionné, les outils tiers sont actuellement incapables de déchiffrer les données verrouillées.

Alors que la plupart des développeurs de ransomwares se concentrent sur l'infection des systèmes Windows, ÂgeLocker cible plutôt Mac et Linux. Le ransomware se positionne comme un virus axé sur les entreprises qui se propage sur les entreprises, mais des attaques contre des utilisateurs réguliers se produisent également. Le processus de cryptage ressemble assez à Windows, la seule différence est l'utilisation d'extensions et de formats de fichiers différents. AgeLocker applique son invite de commande personnelle pour exécuter le processus de chiffrement. Les fichiers qui ont été affectés par AgeLocker reçoivent des extensions personnalisées en fonction des noms des utilisateurs. Il est impossible d'identifier quel fichier a été infecté car AgeLocker chiffre le nom d'origine et ajoute une extension aléatoire à la fin. Certaines personnes ont signalé que leurs fichiers avaient été ajoutés avec le .sthd2 l'extension et le nom des fichiers chiffrés commence par âge-encryption.org Adresse URL. Une fois que tous les fichiers sont verrouillés avec succès, le virus envoie une note de rançon (sécurité_audit_.eml) à l'adresse e-mail de la victime.

Ransomware AESMewLocker est une véritable menace qui cible vos données en les cryptant avec les algorithmes AES File Format. Il n'y a rien de particulier au monde des ransomwares. Le virus est apparu sur plusieurs forums il y a quelques jours et a soulevé une grande question concernant ses victimes: comment décrypter des fichiers? Pour l'instant, il n'existe aucun moyen viable de déverrouiller les fichiers qui sont chiffrés avec le .fermé à clé extension après pénétration. Tous vos fichiers deviennent inaccessibles et peuvent être déverrouillés, uniquement si vous répondez aux exigences de l'escroc et payez pour la clé de déchiffrement. La clé elle-même n'est pas bon marché, vous devez dépenser 0.05 BTC et contacter les extorqueurs pour obtenir des instructions de décryptage. Toutes ces informations sont indiquées dans une note de rançon (READ_IT.txt) créé après un cryptage réussi.

PIOC est une infection ransomware qui crypte les données personnelles et les garde verrouillées jusqu'à ce que les victimes paient une soi-disant rançon. Il utilise l'extension aléatoire de 5 lettres pour remplacer l'apparence du fichier d'origine. Une fois ajouté, votre fichier réinitialisera son icône et le changera en 1.mp4.UAKXC, par exemple. Certaines personnes se trompent en disant que l'IOCP fait partie Ransomware Conti. Ce n'est pas vrai car Conti utilise des algorithmes AES tandis que l'IOCP applique Salsa20 et ChaCha20 à la place. Une fois vos fichiers bloqués, le virus crée une note de rançon (R3ADM3.txt) contenant des instructions sur la façon de déchiffrer vos données. Il est dit que vous devez écrire un e-mail à l'une des adresses ci-jointes. Aucune limite de temps n'est fixée, cependant, les cybercriminels disent qu'à moins que vous ne payiez pour le logiciel de décryptage, vos fichiers seront publiés sur le Web. Pour le moment, comme ce ransomware est relativement nouveau, les experts n'ont pas trouvé de moyen viable de décrypter les fichiers gratuitement.

Zorab est un virus de cryptage de fichiers déterminé par S! R1, chercheur de logiciels malveillants qui a ouvert un certain nombre d'autres infections. Les conséquences fournies par Zorab sont clairement visibles dans le cryptage des données et les demandes de paiement pour obtenir des outils de décryptage. Tous les fichiers impactés par le ransomware seront reconfigurés soit avec .zrb or .zorab2 extension. Par exemple, un fichier sans virus comme 1.mp4 aura un aperçu de 1.mp4.zrb or 1.mp4.zorab2 après pénétration. Un tel changement signifie que vos fichiers ne sont plus accessibles. Pour les décrypter, les extorqueurs proposent de lire les instructions données dans une note textuelle (--DECRYPT - ZORAB.txt) qui est abandonné une fois le cryptage majeur effectué. Dans la note de rançon, les cybercriminels tentent de consoler les victimes confuses et de leur faire savoir que leurs données sont en sécurité et peuvent être récupérées. La seule chose qu'ils doivent faire est d'acheter un logiciel de décryptage en BTC après avoir établi un contact avec des cybercriminels par e-mail. En outre, il existe une astuce conçue pour gagner la confiance des utilisateurs: le décryptage de 2 petits fichiers gratuitement. Malheureusement, puisque vous avez affaire à des moyens frauduleux, il n'y a aucune garantie réelle que vos fichiers seront ramenés en conséquence. C'est pourquoi la plupart des cyber-experts recommandent aux gens d'économiser leur argent et de créer des sauvegardes superflues de manière préventive pour restaurer les fichiers bloqués après la suppression des logiciels malveillants.

Découvert en 2020, CoronaLock restreint l'accès aux données des utilisateurs en les chiffrant avec les algorithmes ChaCha, AES et RSA. Les fichiers compromis par ce ransomware subissent un changement d'extension soit .pandémie, .corona-lock or .biglock. Par exemple, si 1.mp4 est modifié par le virus, il migrera vers 1.mp4.corona-lock or 1.mp4.biglock. Après cela, les extorqueurs affichent des informations sur la rançon dans la note (!!! READ_ME !!!. TXT or LISEZMOI_LOCK.TXT) qui est déposé sur le bureau. Il est intéressant de noter que les personnes qui se font attaquer avec l'extension ".biglock" n'ont pas d'informations de contact dans la note de rançon pour se connecter avec des cybercriminels. Il semble que ses développeurs aient oublié de l'inclure avant la sortie. En attendant, les versions ".corona-lock" n'ont pas cet inconvénient et contiennent du courrier électronique dans le fichier texte. Si vous souhaitez effectuer un test de décryptage, vous êtes libre de leur envoyer un fichier.

Être classé comme infection par ransomware, Django n'est pas un virus avec lequel il faut se moquer Dès qu'il tombe sur votre PC, il provoque des ravages autour des données personnelles en cryptant avec des algorithmes spéciaux qui ne permettent pas aux outils tiers d'avoir des arguments à l'avenir. Pendant le cryptage des données, vos fichiers sont modifiés avec le .djang0unchain3d extension. Cela signifie qu'un fichier comme 1.mp4 sera changé en 1.mp4.djang0unchain3d et réinitialisez son icône d'origine. Il semble que les développeurs ont inspiré un film hollywoodien appelé "Django Unchained" et ont décidé d'emprunter son nom. Une fois le cryptage terminé, les victimes reçoivent des instructions de rançon dans Readme.txt qui expliquent comment décrypter vos données. Les cybercriminels disent que pour récupérer vos fichiers, vous devez les contacter via l'adresse e-mail ci-jointe et inclure votre identifiant. Si vous n'obtenez pas de réponse dans les 24 heures, vous devez écrire à un autre e-mail mentionné dans la note. Après cela, les extorqueurs vous demanderont d'acheter la clé de déchiffrement via le portefeuille BTC, ce qui vous aidera à restaurer l'accès aux données bloquées à terme.

Découvert récemment, Dharma-2020 est un programme de rançon qui utilise des algorithmes cryptographiques puissants pour bloquer les données et exiger de payer une rançon. Une fois que le virus a attaqué votre ordinateur, il chiffre instantanément les fichiers stockés en les renommant avec l'adresse e-mail d'un criminel et d'autres symboles. Par exemple, 1.mp4 sera renommé en quelque chose comme 1.mp4.id-{random-8-digit-alphanumerical-sequence}.[btckeys@aol.com].2020. Après un cryptage réussi, le programme affiche une fenêtre de message et crée une note de rançon appelée FILES ENCRYPTED.txt. Le logiciel malveillant verrouille toute tentative de déchiffrement de vos fichiers et d'utilisation de certains programmes de sécurité. Ensuite, Dharma-2020 Ransomware fait un pur classique demandant aux utilisateurs de payer une rançon en BTC (de 50 $ à 500 $) et d'envoyer un chèque de paie à leur e-mail, après quoi, ils vous donneront un programme de décryptage.