Virus

Qazx Rançongiciel est appelé ainsi, à cause de .qazx extension, ajoutée aux fichiers concernés, modifiant les extensions d'origine de divers types de données sensibles. Cette version est apparue à la mi-mars 2023. En fait, techniquement, c'est STOP Ransomware, qui utilise des algorithmes de cryptage AES pour crypter les fichiers de l'utilisateur. Ce suffixe est l'une des centaines d'extensions différentes utilisées par ce malware. Cela signifie-t-il que vous avez perdu vos précieuses données? Pas nécessairement. Il existe certaines méthodes, qui vous permettent de récupérer vos fichiers totalement ou partiellement. En outre, il existe un utilitaire de décryptage gratuit appelé STOP Djvu Decryptor de EmsiSoft, qui est constamment mis à jour et est capable de décrypter des centaines de types de ce virus. Après avoir terminé son activité désastreuse, Qazx Ransomware crée _readme.txt fichier (note de rançon), où il informe les utilisateurs du fait du cryptage, du montant de la rançon et des conditions de paiement.

Si vous ne pouvez pas ouvrir vos fichiers et qu'ils ont .craa extension ajoutée à la fin des noms de fichiers, cela signifie que votre PC est infecté par Craa Ransomware, la partie de STOP/Djvu Ransomware famille. Ce malware tourmente ses victimes depuis 2017 et est déjà devenu le virus de type ransomware le plus répandu de l'histoire. Il infecte des milliers d'ordinateurs par jour en utilisant diverses méthodes de distribution. Il utilise une combinaison complexe d'algorithmes de cryptage symétriques ou asymétriques, supprime les points de restauration Windows, les versions précédentes des fichiers Windows, les clichés instantanés et ne laisse fondamentalement que 3 possibilités de récupération. La première consiste à payer la rançon, cependant, il n'y a absolument aucune garantie que les malfaiteurs renverront la clé de déchiffrement. La deuxième possibilité est très improbable, mais vaut la peine d'être essayée - en utilisant un outil de décryptage spécial d'Emsisoft, appelé STOP Djvu Decryptor. Il ne fonctionne que sous un certain nombre de conditions, que nous décrivons dans le paragraphe suivant. Le troisième utilise des programmes de récupération de fichiers, qui servent souvent de solution de contournement aux problèmes d'infection par ransomware. Observons le fichier de demande de rançon (_readme.txt), que le virus place sur le bureau et dans les dossiers contenant les fichiers cryptés.

Esxi (ESXiArgs) Ransomware est une infection malveillante qui cible les organisations en exploitant les vulnérabilités dans VMware ESXi - un outil de machine virtuelle utilisé pour gérer et optimiser divers processus au sein des organisations. Les rapports de sécurité indiquent que les cybercriminels exploitent les vulnérabilités connues de VMware ESXi pour accéder aux serveurs et déployer le rançongiciel ESXiArgs sur le système ciblé. Une fois cela fait, le virus commencera à chercher à chiffrer les fichiers situés sur la machine virtuelle avec les extensions suivantes : .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Pour chaque fichier crypté, le ransomware créera également un fichier séparé avec .ESXiArgs or .args extension avec des métadonnées à l'intérieur (probablement nécessaires pour un décryptage futur).

Étant un successeur de Djvu Ransomware, Coba est un virus de type ransomware qui cible les données personnelles. Tout comme les autres logiciels malveillants de ce type, Coba exécute le cryptage des données pour exiger une rançon monétaire des victimes. Tous les fichiers attaqués par Coba (y compris les images, les bases de données, les documents, etc.) seront restreints d'accès et modifiés visuellement également. Par exemple, un fichier comme 1.pdf va changer de look pour 1.pdf.coba à la fin du cryptage. Les développeurs de cette variante de ransomware appliquent les .coba extension à chacun des fichiers cibles stockés sur un système. La prochaine chose qu'il fait après avoir manipulé les extensions de données crée une demande de rançon (_readme.txt) qui contient des instructions de déchiffrement. Une fois que les utilisateurs l'ouvriront, un texte écrit par des cybercriminels leur sera présenté. Ce texte fournit des informations sur la façon de renvoyer les données cryptées.

SkullLocker est une nouvelle variante de ransomware. La recherche indique qu'il a été développé sur la base de Chaos Ransomware - une autre infection dévastatrice et bien connue. En cas d'infiltration réussie, SkullLocker crypte l'accès aux fichiers, ajoute son propre .skull extension, et crée une demande de rançon (read_it.txt) avec des instructions de décryptage rédigées en polonais. Voici un texte complet présenté dans la note avec sa traduction en anglais. Dans l'ensemble, les cybercriminels exigent que les utilisateurs effectuent un paiement dans les 72 heures, sinon les données seront définitivement perdues. Les utilisateurs sont invités à se familiariser avec les détails de paiement et de récupération via le lien TOR ci-joint. En outre, la note déconseille d'essayer de récupérer des fichiers manuellement car cela pourrait causer des dommages permanents aux fichiers.

Coaq Rançongiciel est le sous-type de STOP Ransomware (ou DJVU Ransomware) et possède toutes les caractéristiques de cette famille de virus. Les logiciels malveillants bloquent l'accès aux données sur les ordinateurs de la victime en les cryptant avec l'algorithme de cryptage AES. STOP Ransomware est l'un des ransomwares les plus anciens. Les premières infections ont été enregistrées en décembre 2017. Coaq Ransomware avec un tel suffixe en est encore une autre génération et ajoute .coaq extensions aux fichiers cryptés. Suite au cryptage, le malware crée un fichier de note de rançon: _readme.txt sur le bureau et dans les dossiers contenant des fichiers encodés. Dans ce fichier, les pirates fournissent des informations sur le décryptage et les coordonnées, telles que les e-mails: support@freshmail.top ainsi que datarestorehelp@airmail.cc.

Nouvelles instances de STOP Ransomware (DjVu Ransomware) continuent d'endommager les fichiers des utilisateurs dans le monde entier. STOP/Djvu Ransomware est un type spécifique de ransomware actif depuis 2017. Il s'agit d'un type de logiciel malveillant de cryptage de fichiers qui crypte les fichiers des victimes et exige un paiement en échange de la clé de décryptage. Ce crypto-virus utilise un algorithme de chiffrement AES complexe pour bloquer l'accès des utilisateurs à leurs données et extorquer une rançon de 490 $ ou 980 $. L'une des nouvelles variantes d'extension, apparue en octobre 2022, est : .cosw. Le ransomware correspondant porte le nom Cosw Rançongiciel. Le virus ajoute de tels suffixes à la fin des fichiers cryptés. Si vos fichiers ont une telle fin et ne sont pas accessibles, cela signifie que votre PC est infecté par STOP Ransomware. Les développeurs de logiciels malveillants modifient légèrement le virus techniquement.

Goba Rançongiciel, qui est en fait la prochaine génération de STOP Ransomware est apparu début mars 2023. Ce virus crypte les fichiers essentiels des utilisateurs, tels que les documents, les photos, les bases de données, la musique avec le cryptage AES et ajoute .goba extensions des fichiers concernés. Ce ransomware est presque identique à de nombreuses versions précédentes du malware, que nous avons décrites précédemment, et appartient aux mêmes auteurs, et utilise les mêmes adresses e-mail (support@freshmail.top ainsi que datarestorehelp@airmail.cc) et les mêmes portefeuilles Bitcoin. Le décryptage complet est presque impossible, cependant, vos données peuvent être partiellement restaurées en suivant les instructions de cet article. Une fois le virus terminé, il crée _readme.txt fichier avec la note de rançon sur le bureau et dans les dossiers contenant les fichiers concernés.