Virus

StripedFly est une plate-forme malveillante multiplateforme hautement sophistiquée qui a infecté plus d'un million de systèmes Windows et Linux sur une période de cinq ans. Il a initialement été classé à tort comme mineur de crypto-monnaie Monero, mais une enquête plus approfondie a révélé sa véritable nature en tant que malware à menace persistante avancée (APT). StripeFly est un framework modulaire qui peut cibler à la fois les systèmes Windows et Linux. Il dispose d'un tunnel réseau Tor intégré pour la communication avec son serveur de commande et de contrôle (C&C) et utilise des services de confiance tels que Bitbucket, GitLab et GitHub pour les mécanismes de mise à jour et de livraison. Le malware fonctionne comme un exécutable binaire monolithique avec des modules enfichables, ce qui lui confère une polyvalence opérationnelle souvent associée aux opérations APT. Ces modules incluent le stockage de configuration, la mise à niveau/désinstallation, le proxy inverse, divers gestionnaires de commandes, le collecteur d'informations d'identification, les tâches répétables, le module de reconnaissance, l'infecteur SSH, l'infecteur SMBv1 et un module d'exploration de données Monero. La présence du mineur de crypto Monero est considérée comme une tentative de détournement, les principaux objectifs des acteurs de la menace étant le vol de données et l'exploitation du système facilitée par les autres modules.

Jarjets est un type de ransomware, un logiciel malveillant conçu pour bloquer l'accès à un système informatique ou à des fichiers jusqu'à ce qu'une somme d'argent soit payée. Il a été découvert lors d'une enquête de routine sur les nouveaux fichiers soumis au site VirusTotal. Une fois que le ransomware Jarjets infecte un système, il crypte les fichiers et modifie leurs noms de fichiers. Les titres originaux sont accompagnés d'un .Jarjets extension. Par exemple, un fichier nommé 1.jpg apparaîtrait comme 1.jpg.Jarjets, 2.png as 2.png.Jarjets, et ainsi de suite. L'algorithme de chiffrement spécifique utilisé par Jarjets n'est pas explicitement mentionné dans les résultats de recherche, mais les ransomwares utilisent généralement des méthodes de chiffrement complexes, souvent une combinaison de chiffrement symétrique et asymétrique. Une fois le processus de cryptage terminé, le ransomware Jarjets crée une note de rançon intitulée Jarjets_ReadMe.txt. Ce fichier texte informe la victime que ses fichiers ont été cryptés et l'invite à contacter les cybercriminels.

BlackDream Ransomware est un type de malware qui crypte les données sur l'ordinateur d'une victime et exige un paiement pour leur décryptage. Il a été découvert par des chercheurs alors qu'ils enquêtaient sur de nouveaux logiciels malveillants soumis à VirusTotal. Le ransomware ajoute un identifiant unique, l'adresse e-mail des cybercriminels et le .BlackDream extension aux noms de fichiers des fichiers cryptés. Par exemple, un fichier initialement nommé 1.jpg apparaîtrait comme 1.jpg.[G7H9L6ZA].[Blackdream01@zohomail.eu].BlackDream. Une fois le processus de cryptage terminé, une demande de rançon intitulée ReadME-Decrypt.txt est tombé. Le ransomware BlackDream utilise une méthode de cryptage de fichiers non spécifiée. La note rassure la victime sur le fait que ses fichiers n'ont pas été endommagés mais ont été cryptés. Il prévient que demander de l'aide pour la récupération en dehors des attaquants (c'est-à-dire en utilisant des outils ou des services tiers) peut rendre les données indéchiffrables. La note implique que le décryptage nécessitera le paiement d’une rançon en crypto-monnaie Bitcoin, bien que le montant exact ne soit pas précisé.

Lumar Stealer est un malware léger de type voleur écrit en langage de programmation C. Il est conçu pour voler des informations telles que les cookies Internet, les mots de passe stockés et les portefeuilles de crypto-monnaie. Lumar a été signalé pour la première fois sur des forums de hackers en juillet 2023. Le malware infiltre les systèmes et commence à collecter des données pertinentes sur l'appareil telles que le nom de l'appareil, le processeur, la RAM et la disposition du clavier. Il cible principalement les informations stockées sur les navigateurs, en extrayant les cookies Internet et les identifiants de connexion (noms d'utilisateur, identifiants, adresses e-mail, mots de passe, phrases secrètes, etc.). Il cible également les sessions Telegram Messenger et collecte des informations liées aux portefeuilles de crypto-monnaie. Lumar dispose de capacités de capture, ce qui signifie qu'il peut télécharger des fichiers depuis les ordinateurs des victimes. Les formats intéressants incluent DOC, TXT, XLS, RDP et JPG. Si vous pensez que votre ordinateur est infecté par Lumar Stealer, il est fortement conseillé d'utiliser un logiciel antivirus fiable pour effectuer des analyses régulières du système et supprimer les menaces et les problèmes détectés.

Zput est un type de ransomware qui appartient à la famille des ransomwares Djvu. Il s'agit d'un programme malveillant conçu pour crypter des fichiers et exiger des rançons pour leur décryptage. Le ransomware Zput cible différents types de fichiers, tels que des vidéos, des photos, des documents, etc. Il modifie la structure du fichier et ajoute le .zput extension à chaque fichier, les rendant inaccessibles et inutilisables sans décryptage. Par exemple, un fichier initialement nommé 1.jpg apparaît comme 1.jpg.zput, 2.png, comme 2.png.zput, et ainsi de suite. Zput Ransomware utilise les algorithmes de cryptage Salsa20 pour brouiller le contenu des fichiers ciblés. Cette méthode de chiffrement robuste rend assez difficile, voire impossible, la sélection de la clé de déchiffrement sans coopérer avec les attaquants. Après avoir crypté les fichiers, le ransomware Zput dépose une note de rançon intitulée _readme.txt. Cette note informe la victime que ses données ont été cryptées et que la récupération des fichiers verrouillés nécessite de répondre aux demandes des attaquants – payer une rançon pour obtenir la clé/le logiciel de décryptage.

Zpww Ransomware est un type de malware appartenant à la famille STOP/Djvu. Son objectif principal est d'extorquer de l'argent aux victimes en cryptant leurs fichiers et en exigeant une rançon pour leur décryptage. La rançon varie généralement de 490 $ à 980 $, payable en Bitcoins. Une fois l'infiltration réussie, Zpww Ransomware analyse chaque dossier à la recherche de fichiers qu'il peut crypter. Il crée ensuite une copie du fichier cible, supprime l'original, crypte la copie et la laisse à la place de l'original supprimé. Les fichiers cryptés sont ajoutés avec l'extension spécifique .zpww. Le ransomware utilise l'algorithme de cryptage Salsa20 qui, même s'il n'est pas la méthode la plus puissante, fournit néanmoins un nombre écrasant de clés de décryptage possibles. Après le processus de cryptage, Zpww Ransomware crée une demande de rançon nommée _readme.txt dans le dossier où se trouve le fichier crypté.

Zpas est une infection ransomware de cryptage de fichiers qui appartient à la famille des ransomwares STOP/DJVU. Il restreint l'accès aux données telles que les documents, les images et les vidéos en cryptant les fichiers avec le .zpas extension. Le ransomware tente ensuite d'extorquer de l'argent aux victimes en demandant une « rançon », généralement sous la forme de crypto-monnaie Bitcoin, en échange d'un accès aux données. Lorsqu'un ordinateur est infecté par le ransomware Zpas, il analyse le système à la recherche d'images, de vidéos et de documents et fichiers de productivité importants tels que .doc, .docx, .xls, .pdf. Lorsque ces fichiers sont détectés, le ransomware les crypte et modifie leur extension, les rendant inaccessibles. Le ransomware Zpas utilise un chiffrement robuste – Salsa20, qui est impossible à « pirater ». Une fois que le ransomware Zpas a chiffré les fichiers sur un ordinateur, il affiche une demande de rançon nommée _readme.txt sur le bureau. La demande de rançon contient des instructions sur la façon de contacter les auteurs de ce ransomware via les adresses e-mail support@fishmail.top et datarestorehelp@airmail.cc. Les victimes de ce ransomware sont priées de contacter ces développeurs de malwares. La rançon demandée varie de 490$ à 980$ (en Bitcoins).

Halo Ransomware est un type de malware conçu pour crypter les données et exiger des rançons pour le décryptage. Il ajoute le .halo extension aux noms de fichiers des fichiers cryptés. Par exemple, un fichier initialement intitulé 1.jpg apparaîtrait comme 1.jpg.halo. Après avoir crypté les fichiers, Halo Ransomware crée un message demandant une rançon nommé !_INFO.txt. La note indique que les fichiers de la victime ont été cryptés et ne peuvent être récupérés qu'en payant une rançon. La note met en garde contre l'arrêt du système, le renommage des fichiers, la tentative de décryptage manuel ou l'utilisation d'outils de récupération tiers, car ces actions peuvent rendre les données indéchiffrables. L'algorithme de cryptage de fichiers spécifique utilisé par Halo Ransomware n'est pas connu. Cependant, les programmes ransomware utilisent généralement des algorithmes cryptographiques symétriques ou asymétriques pour chiffrer les fichiers.