Virus

FAST Ransomware est un type de logiciel malveillant que notre équipe de recherche a récemment découvert lors d'une enquête sur les soumissions sur le site Web de VirusTotal. Ce programme malveillant particulier est classé comme rançongiciel, ce qui signifie qu'il est conçu pour crypter les données sur l'ordinateur d'une victime et exiger une rançon en échange de son décryptage. Lorsque nous avons testé le ransomware sur notre propre machine, nous avons observé qu'il cryptait les fichiers et modifiait leurs noms de fichiers. Les titres de fichiers d'origine ont été modifiés en ajoutant l'adresse e-mail des cybercriminels, un identifiant de victime unique et le .FAST extension. Par exemple, un fichier nommé sample.pdf apparaîtrait comme sample.pdf.EMAIL=[fastdec@tutanota.com]ID=[RANDOM].FAST après cryptage. Après avoir terminé le processus de cryptage, FAST ransomware a déposé une note de rançon intitulée #FILEENCRYPTED.txt sur le bureau de la victime.

EXISC est une forme de malware connue sous le nom de ransomware qui a attiré notre attention lors de notre enquête. Son objectif principal est de chiffrer les données et d'exiger un paiement en échange de la clé de déchiffrement. Lors de l'exécution d'un échantillon de ce ransomware sur notre système de test, nous avons observé qu'il cryptait les fichiers et ajoutait le .EXISC extension à leurs noms de fichiers d'origine. Par exemple, un fichier nommé sample.pdf apparaîtrait comme sample.pdf.EXISC. Le ransomware a également créé une note de rançon intitulée Please Contact Us To Restore.txt. Sur la base du message contenu dans la note, il est devenu évident qu'EXISC cible principalement les grandes organisations plutôt que les particuliers. Les victimes ne reçoivent souvent pas les clés ou logiciels de décryptage promis, même après s'être conformées aux demandes de rançon. Par conséquent, nous déconseillons fortement de payer la rançon, car cela ne garantit pas la récupération des données et ne fait que perpétuer les activités criminelles.

Vaze Ransomware (aka STOP Ransomware or Djvu Ransomware) est un extorqueur de virus très répandu dans le cryptage de fichiers. C'est l'un des ransomwares les plus dangereux avec un effet dommageable et un taux de prévalence élevés. Il utilise l'algorithme de cryptage AES-256 en mode CFB avec zéro IV et une seule clé de 32 octets pour tous les fichiers. Un maximum de 0x500000 octets (~ 5 Mo) de données au début de chaque fichier est crypté. Le virus ajoute .vaze extensions aux fichiers encodés. L'infection affecte des fichiers importants et précieux. Il s'agit de documents MS Office, OpenOffice, PDF, fichiers texte, bases de données, photos, musique, vidéo, fichiers image, archives, fichiers d'application, etc. Djvu Ransomware ne crypte pas les fichiers système, pour s'assurer que Windows fonctionne correctement et que les utilisateurs peuvent naviguer sur Internet, visiter la page de paiement et payer la rançon. Vaze Ransomware crée _readme.txt fichier, qui est appelé «note de rançon» et il contient des instructions pour effectuer le paiement et les coordonnées. Le virus le place sur le bureau et dans les dossiers contenant des fichiers cryptés. Les développeurs proposent les coordonnées suivantes : support@freshmail.top ainsi que datarestorehelp@airmail.cc.

Virus désastreux connu sous le nom de STOP Ransomware, en particulier, sa dernière variation Vapo Ransomware ne se relâche pas et continue son activité malveillante même pendant le pic de la pandémie de coronavirus humain. Les pirates publient de nouvelles variantes tous les 3-4 jours, et il est encore difficile de prévenir l'infection et de s'en remettre. Les versions récentes ont des extensions modifiées, qui sont ajoutées à la fin des fichiers concernés, maintenant elles sont: .vapo. Bien qu'il existe des outils de décryptage d'Emsisoft disponibles pour les versions précédentes, les plus récents sont généralement non décryptables. Les processus de pénétration, d'infection et de cryptage restent les mêmes : les campagnes de publicité malveillante, les téléchargements peer-to-peer, l'inattention de l'utilisateur et le manque de protection décente entraînent une grave perte de données après le cryptage à l'aide d'algorithmes AES-256 puissants. Après avoir terminé son activité dévastatrice, Vapo Ransomware laisse le fichier texte - une note de rançon, appelée _readme.txt, dont nous pouvons apprendre que le déchiffrement coûte de 490$ à 980$, et il est impossible sans une certaine clé de déchiffrement.

Gatq Rançongiciel est, en fait, un sous-type de notoire STOP Ransomware (DjVu Ransomware), actif depuis décembre 2017. Le virus utilise l'algorithme de chiffrement AES-256 (mode CFB). Cette nouvelle version est apparue mi-mai 2023 et ajoute .gatq extension aux fichiers cryptés. STOP Ransomware appartient à une famille de crypto-virus, qui demandent de l'argent en échange du décryptage. La bonne nouvelle est que la plupart des versions précédentes de Gatq Ransomware pourraient être décryptées à l'aide d'un outil spécial appelé STOP Djvu Decryptor (lien de téléchargement ci-dessous dans l'article), développé par EmsiSoft. Gatq Ransomware utilise exactement les mêmes e-mails, modèles de demande de rançon et autres paramètres que des dizaines de ses prédécesseurs : support@freshmail.top ainsi que datarestorehelp@airmail.cc. Un logiciel malveillant crée _readme.txt fichier de note de rançon avec toutes les informations de contact et explications.

Gaze Ransomware est l'une des nombreuses versions de ransomware émises par le STOP/Djvu famille. Cette version particulière a été publiée fin mai 2023. Tout comme les anciennes versions, Gaze Ransomware crypte les données stockées sur PC et demande une crypto rançon pour un logiciel de décryptage unique qui déverrouillera ces données. Le plus souvent, des logiciels malveillants comme Gaze parcourent les fichiers disponibles et bloquent l'accès aux plus précieux. La liste de ces éléments se compose généralement d'images, de musique, de vidéos et de documents contenant des informations importantes. Après avoir localisé ces fichiers, le crypteur de fichiers écrira des algorithmes cryptographiques puissants sur les fichiers ciblés pour empêcher les utilisateurs d'aborder manuellement leur décryptage. Les victimes infectées par cette version du rançongiciel verront leurs données modifiées avec le .gaze extension. Cela signifie un fichier compromis comme 1.pdf va changer pour quelque chose comme 1.pdf.gaze. Ensuite, les développeurs de Gaze ont configuré leur virus pour créer le _readme.txt fichier contenant des directives de décryptage.

Gapo Rançongiciel ou comme on l'appelle souvent STOP Ransomware or Djvu Ransomware appartient à la grande famille des virus de cryptage de fichiers avec une longue histoire et de multiples modifications. Actuellement, c'est l'un des ransomwares les plus répandus. Nous n'entrerons pas dans les détails techniques de l'infection, mais expliquerons les méthodes simples et les chances de décrypter les fichiers affectés et de supprimer le virus. La première chose que vous devez savoir, il y a des cas qui peuvent être traités avec succès, la mauvaise nouvelle est que les chances de succès sont inférieures à 5%. Dans cet article, nous observerons des variations qui ajoutent .gapo extensions aux fichiers et est apparu fin mai 2023. Gapo Ransomware utilise un modèle similaire avec toutes les victimes. Il s'agit d'une fausse mise à jour Windows à partir de sites Web torrent qui exécutent un exécutable pour désactiver les programmes de sécurité et démarre le processus de cryptage de fichiers précieux, tels que des documents, des vidéos, des photos, de la musique. À la fin, il place une note de rançon (_readme.txt) dans chaque dossier contenant des fichiers cryptés.

Xaro est le nom d'un nouveau virus de chiffrement de fichiers récemment développé par la généalogie du rançongiciel STOP/Djvu. Cette variante de ransomware est apparue en mai 2023 et partage des caractéristiques généralement identiques avec les autres versions publiées par ce groupe de cybercriminels. La seule chose qui le rend unique est le .xaro extension qui est ajoutée aux fichiers ciblés lors du chiffrement. Une fois cryptés, les fichiers ne seront plus accessibles et ressembleront à quelque chose comme 1.pdf.xaro sans l'icône de raccourci d'origine. Suite à cela, Xaro Ransomware crée une note de texte appelée _readme.txt pour présenter des directives de décryptage. Dans l'ensemble, il est dit que les victimes doivent payer la clé de décryptage unique (et l'outil) afin de récupérer les données. Le prix du décryptage représente 490 $ dans les 72 premières heures et est censé doubler pour atteindre 980 $ à moins que les victimes ne rentrent dans le délai imparti. Pour effectuer ce paiement demandé, les victimes doivent entamer une communication avec les escrocs (par e-mail) et obtenir des instructions supplémentaires sur le paiement de la rançon.