Virus

Nouvelle vague de STOP Ransomware l'infection continue avec Qowd Rançongiciel, qui ajoute .qowd extensions. STOP Ransomware a été détecté pour la première fois en 2018 et a depuis évolué pour devenir l'un des types de ransomware les plus répandus. Ces extensions ".qowd" sont ajoutées aux fichiers cryptés fin février 2023. Ce virus délicat utilise l'algorithme de cryptage AES pour coder les informations importantes des utilisateurs. En règle générale, Qowd Ransomware attaque les photos, les vidéos et les documents - des données que les gens apprécient. Les développeurs de logiciels malveillants extorquent une rançon et promettent de fournir une clé de déchiffrement en retour. Le déchiffrement complet des données perdues est possible dans une minorité de cas, si une clé de chiffrement hors ligne a été utilisée, sinon, utilisez les instructions sur la page pour récupérer les fichiers chiffrés. Le ransomware crée également une note de rançon (_readme.txt) qui informe la victime de l'attaque et exige un paiement en Bitcoin ou autres crypto-monnaies en échange de la clé de déchiffrement.

Iotr Ransomware (appelé quelques fois STOP Ransomware or DjVu Ransomware) est un virus de chiffrement très répandu, qui est apparu pour la première fois en décembre 2017. Depuis lors, de nombreux changements techniques et de conception ont eu lieu, et quelques générations de logiciels malveillants ont changé. Ransomware utilise l'algorithme de chiffrement AES-256 (mode CFB) pour encoder les fichiers de l'utilisateur, et après cette dernière version (apparue fin février 2023) ajoute .iotr extensions. Après le cryptage, le virus crée un fichier texte _readme.txt, appelée "note de rançon", où les pirates divulguent le montant de la rançon, les coordonnées et les instructions pour la payer. STOP Ransomware avec les extensions de fichier .iotr utilise les e-mails suivants : support@freshmail.top et datarestorehelp@airmail.cc, tout comme des dizaines de ses prédécesseurs.

Kangaroo est une infection par rançongiciel publiée par les développeurs à l'origine d'anciens chiffreurs de fichiers, tels que Apocalypse, Fabiansomware et Esmeralda. Bien que ce chiffreur de fichiers circulait activement en 2021, certains utilisateurs peuvent encore se retrouver pénétrés par celui-ci ces jours-ci. Le but des logiciels malveillants de cette catégorie est de crypter des données potentiellement importantes et d'extorquer de l'argent aux victimes pour les décrypter. La fonctionnalité qui distingue Kangaroo des autres infections de rançongiciels courantes est qu'il configure les valeurs de registre pour afficher un message de rançon avant d'accéder à l'écran de connexion Windows. Immédiatement après la connexion au système, il affiche également un faux écran avec le même message de rançon mais cette fois avec un champ dédié pour insérer un mot de passe pour le déverrouiller. Lors du chiffrement, Kangaroo attribue également le .crypted_file extension et crée des messages de rançon identiques sous forme de notes textuelles. Ces notes de texte sont créées en plus de chaque fichier crypté et sont nommées en fonction du nom du fichier post-cryptage (comme ici 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Rançongiciel (aka STOP Ransomware or Djvu Ransomware) est un virus extrêmement dangereux qui crypte les fichiers à l'aide de l'algorithme de cryptage AES-256 et ajoute .ioqa extensions aux fichiers concernés. L'infection implique principalement des fichiers importants et précieux, tels que des photos, des documents, des bases de données, des e-mails, des vidéos, etc. Ioqa Ransomware ne touche pas aux fichiers système pour permettre à Windows de fonctionner, de sorte que les utilisateurs pourront payer la rançon. Si le serveur malveillant n'est pas disponible (l'ordinateur n'est pas connecté à Internet, le serveur des pirates distants ne fonctionne pas), l'outil de chiffrement utilise la clé et l'identifiant qui y sont codés en dur et effectue un chiffrement hors ligne. Dans ce cas, il sera possible de décrypter les fichiers sans payer la rançon. Ioqa Ransomware crée _readme.txt fichier, qui contient le message de rançon et les coordonnées, sur le bureau et dans les dossiers contenant des fichiers cryptés. Les développeurs peuvent être contactés par e-mail: support@freshmail.top et datarestorehelp@airmail.cc.

Mikel Rançongiciel est une infection malveillante conçue pour crypter des données personnelles et extorquer de l'argent pour leur décryptage. Il est également identifié comme une nouvelle variante d'un autre crypteur de fichiers nommé Proxima. Lors du cryptage, Mikel Ransomware attribue le .mikel extension pour mettre en évidence le changement. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.mikel et réinitialiser son icône d'origine. Veuillez noter que la suppression de l'extension attribuée du fichier crypté ne lui rendra pas l'accès. Le chiffrement verrouille les données de manière permanente et nécessite des clés de déchiffrement pour les déverrouiller. Une fois le cryptage terminé, le virus crée le Mikel_Help.txt note textuelle avec des instructions concernant le décryptage.

STOP Ransomware est un virus de cryptage sophistiqué qui utilise l'algorithme Salsa20 pour encoder des données personnelles sensibles, telles que des photos, des vidéos et des documents. La dernière version (Iowd Ransomware), paru mi-février 2023, ajoute .iowd extension aux fichiers et les rend illisibles. À ce jour, la famille comprend environ plus de 600 représentants et le nombre total d'utilisateurs concernés approche le million. La plupart des attaques ont lieu en Europe et en Amérique du Sud, en Inde et en Asie du Sud-Est. La menace a également touché les États-Unis, l'Australie et l'Afrique du Sud. Bien que le virus Iowd soit moins connu que GandCrab, Dharma et d'autres chevaux de Troie rançongiciels, c'est cette année qu'il représente plus de la moitié des attaques détectées. De plus, le prochain participant au classement, le Dharma susmentionné, est en retard de plus de quatre fois sur cet indicateur. Un rôle important dans la prévalence de STOP Ransomware est joué par sa diversité : dans les périodes les plus actives, les experts ont trouvé trois ou quatre nouvelles versions par jour, chacune faisant plusieurs milliers de victimes.

Crackonosh est le nom d'un cheval de Troie distribué furtivement à l'intérieur des installateurs de logiciels piratés. Une fois l'installation réussie, son objectif est d'injecter le mineur XMRIG et de commencer à extraire la crypto-monnaie Monero pour les acteurs de la menace. À l'heure actuelle, les statistiques montrent que ce mineur a aidé les cybercriminels à exploiter le montant de Monero d'une valeur d'environ deux millions de dollars. Quelques mots sur la façon dont le cheval de Troie fait son travail malveillant : après le lancement du programme d'installation du logiciel piraté, il place un programme d'installation et un script sur le système ciblé, qui modifie ensuite les paramètres du registre Windows pour désactiver le mode d'hibernation et activer Crackonosh dans Safe Mode au prochain démarrage du système. De cette façon, le cheval de Troie désactive Windows Update et Windows Defender et est même capable de désinstaller des programmes antivirus tiers (par exemple, Avast, Bitdefender, Kaspersky, McAfee et Norton) afin de réduire le risque d'être détecté et bloqué. Pour dissimuler sa présence, il efface les fichiers journaux du système, serviceinstaller.msi fichiers et maintenance.vbs fichiers. Par conséquent, certains systèmes infectés peuvent afficher des messages d'erreur indiquant des problèmes avec les fichiers susmentionnés. En outre, Crackonosh peut également arrêter les services Windows Update et remplacer l'icône de sécurité Windows par une fausse icône verte de la barre d'état système. Les principaux symptômes qui devraient attirer votre attention et vous amener à soupçonner que quelque chose ne va pas avec votre système sont généralement des performances PC plus lentes et lentes, une utilisation accrue du processeur/GPU/RAM, une surchauffe, des plantages inattendus et d'autres problèmes connexes. Ainsi, si l'un de ces symptômes est présent, assurez-vous de lire notre guide ci-dessous et d'éliminer le potentiel cheval de Troie de crypto-minage de votre ordinateur.

Hhoo a été classé comme un virus de type ransomware, qui crypte les données personnelles à l'aide d'algorithmes cryptographiques. Étant encore une autre version du Djvu/STOP famille, Hhoo peut cibler à la fois les individus et les organisations pour exiger des rançons élevées. Il est apparu à la mi-février 2023 et a touché des milliers d'utilisateurs. La rançon est un soi-disant paiement exigé par les cybercriminels en échange des données bloquées. Les extorqueurs fournissent des informations détaillées à ce sujet à l'intérieur d'une note textuelle (_readme.txt) qui est créé après que Hhoo ait terminé le cryptage des fichiers. Le processus de cryptage peut être facilement repéré par de nouvelles extensions attribuées à chacun des fichiers. Ce virus ajoute le .hhoo extension pour qu'une pièce cryptée ressemble à ceci 1.pdf.hhoo.