Virus

Kangaroo est une infection par rançongiciel publiée par les développeurs à l'origine d'anciens chiffreurs de fichiers, tels que Apocalypse, Fabiansomware et Esmeralda. Bien que ce chiffreur de fichiers circulait activement en 2021, certains utilisateurs peuvent encore se retrouver pénétrés par celui-ci ces jours-ci. Le but des logiciels malveillants de cette catégorie est de crypter des données potentiellement importantes et d'extorquer de l'argent aux victimes pour les décrypter. La fonctionnalité qui distingue Kangaroo des autres infections de rançongiciels courantes est qu'il configure les valeurs de registre pour afficher un message de rançon avant d'accéder à l'écran de connexion Windows. Immédiatement après la connexion au système, il affiche également un faux écran avec le même message de rançon mais cette fois avec un champ dédié pour insérer un mot de passe pour le déverrouiller. Lors du chiffrement, Kangaroo attribue également le .crypted_file extension et crée des messages de rançon identiques sous forme de notes textuelles. Ces notes de texte sont créées en plus de chaque fichier crypté et sont nommées en fonction du nom du fichier post-cryptage (comme ici 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Rançongiciel (aka STOP Ransomware or Djvu Ransomware) est un virus extrêmement dangereux qui crypte les fichiers à l'aide de l'algorithme de cryptage AES-256 et ajoute .ioqa extensions aux fichiers concernés. L'infection implique principalement des fichiers importants et précieux, tels que des photos, des documents, des bases de données, des e-mails, des vidéos, etc. Ioqa Ransomware ne touche pas aux fichiers système pour permettre à Windows de fonctionner, de sorte que les utilisateurs pourront payer la rançon. Si le serveur malveillant n'est pas disponible (l'ordinateur n'est pas connecté à Internet, le serveur des pirates distants ne fonctionne pas), l'outil de chiffrement utilise la clé et l'identifiant qui y sont codés en dur et effectue un chiffrement hors ligne. Dans ce cas, il sera possible de décrypter les fichiers sans payer la rançon. Ioqa Ransomware crée _readme.txt fichier, qui contient le message de rançon et les coordonnées, sur le bureau et dans les dossiers contenant des fichiers cryptés. Les développeurs peuvent être contactés par e-mail: support@freshmail.top ainsi que datarestorehelp@airmail.cc.

Mikel Rançongiciel est une infection malveillante conçue pour crypter des données personnelles et extorquer de l'argent pour leur décryptage. Il est également identifié comme une nouvelle variante d'un autre crypteur de fichiers nommé Proxima. Lors du cryptage, Mikel Ransomware attribue le .mikel extension pour mettre en évidence le changement. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.mikel et réinitialiser son icône d'origine. Veuillez noter que la suppression de l'extension attribuée du fichier crypté ne lui rendra pas l'accès. Le chiffrement verrouille les données de manière permanente et nécessite des clés de déchiffrement pour les déverrouiller. Une fois le cryptage terminé, le virus crée le Mikel_Help.txt note textuelle avec des instructions concernant le décryptage.

STOP Ransomware est un virus de cryptage sophistiqué qui utilise l'algorithme Salsa20 pour encoder des données personnelles sensibles, telles que des photos, des vidéos et des documents. La dernière version (Iowd Ransomware), paru mi-février 2023, ajoute .iowd extension aux fichiers et les rend illisibles. À ce jour, la famille comprend environ plus de 600 représentants et le nombre total d'utilisateurs concernés approche le million. La plupart des attaques ont lieu en Europe et en Amérique du Sud, en Inde et en Asie du Sud-Est. La menace a également touché les États-Unis, l'Australie et l'Afrique du Sud. Bien que le virus Iowd soit moins connu que GandCrab, Dharma et d'autres chevaux de Troie rançongiciels, c'est cette année qu'il représente plus de la moitié des attaques détectées. De plus, le prochain participant au classement, le Dharma susmentionné, est en retard de plus de quatre fois sur cet indicateur. Un rôle important dans la prévalence de STOP Ransomware est joué par sa diversité : dans les périodes les plus actives, les experts ont trouvé trois ou quatre nouvelles versions par jour, chacune faisant plusieurs milliers de victimes.

Crackonosh est le nom d'un cheval de Troie distribué furtivement à l'intérieur des installateurs de logiciels piratés. Une fois l'installation réussie, son objectif est d'injecter le mineur XMRIG et de commencer à extraire la crypto-monnaie Monero pour les acteurs de la menace. À l'heure actuelle, les statistiques montrent que ce mineur a aidé les cybercriminels à exploiter le montant de Monero d'une valeur d'environ deux millions de dollars. Quelques mots sur la façon dont le cheval de Troie fait son travail malveillant : après le lancement du programme d'installation du logiciel piraté, il place un programme d'installation et un script sur le système ciblé, qui modifie ensuite les paramètres du registre Windows pour désactiver le mode d'hibernation et activer Crackonosh dans Safe Mode au prochain démarrage du système. De cette façon, le cheval de Troie désactive Windows Update et Windows Defender et est même capable de désinstaller des programmes antivirus tiers (par exemple, Avast, Bitdefender, Kaspersky, McAfee et Norton) afin de réduire le risque d'être détecté et bloqué. Pour dissimuler sa présence, il efface les fichiers journaux du système, serviceinstaller.msi fichiers et maintenance.vbs fichiers. Par conséquent, certains systèmes infectés peuvent afficher des messages d'erreur indiquant des problèmes avec les fichiers susmentionnés. En outre, Crackonosh peut également arrêter les services Windows Update et remplacer l'icône de sécurité Windows par une fausse icône verte de la barre d'état système. Les principaux symptômes qui devraient attirer votre attention et vous amener à soupçonner que quelque chose ne va pas avec votre système sont généralement des performances PC plus lentes et lentes, une utilisation accrue du processeur/GPU/RAM, une surchauffe, des plantages inattendus et d'autres problèmes connexes. Ainsi, si l'un de ces symptômes est présent, assurez-vous de lire notre guide ci-dessous et d'éliminer le potentiel cheval de Troie de crypto-minage de votre ordinateur.

Hhoo a été classé comme un virus de type ransomware, qui crypte les données personnelles à l'aide d'algorithmes cryptographiques. Étant encore une autre version du Djvu/STOP famille, Hhoo peut cibler à la fois les individus et les organisations pour exiger des rançons élevées. Il est apparu à la mi-février 2023 et a touché des milliers d'utilisateurs. La rançon est un soi-disant paiement exigé par les cybercriminels en échange des données bloquées. Les extorqueurs fournissent des informations détaillées à ce sujet à l'intérieur d'une note textuelle (_readme.txt) qui est créé après que Hhoo ait terminé le cryptage des fichiers. Le processus de cryptage peut être facilement repéré par de nouvelles extensions attribuées à chacun des fichiers. Ce virus ajoute le .hhoo extension pour qu'une pièce cryptée ressemble à ceci 1.pdf.hhoo.

CRYBrazil est une variante de ransomware qui a été découverte par MalwareHunterTeam en 2018. Ce virus cible principalement les utilisateurs brésiliens et portugais afin de chiffrer des fichiers potentiellement importants, puis d'exiger une rançon pour leur déchiffrement. Tout en limitant l'accès aux fichiers, il a été observé que le crypteur de fichiers attribue .crybrazil or .hacked selon quelle version a pénétré l'ordinateur. Une fois le cryptage terminé, CRYBrazil modifie les fonds d'écran du bureau pour afficher les directives de décryptage et place également le SUA_CHAVE.html fichier (qui mène à une fausse page de téléchargement pour Adobe Flash Player) dans chaque dossier contenant des données cryptées. Ce site Web ou d'autres faux sites Web peuvent donc être utilisés pour distribuer des logiciels indésirables ou des infections de logiciels malveillants supplémentaires.

Hacktool:Win32/Keygen est un nom de code auquel fait référence un logiciel anti-malware lorsque l'utilisation/la présence d'outils de piratage de licence est détectée sur le système. De tels outils permettent la fausse génération de clés pour activer des versions sous licence de logiciels et donc éviter de les payer. Bien que les outils keygen ne soient pas destinés à nuire à la sécurité des utilisateurs au départ, certains acteurs de la menace peuvent les utiliser pour diffuser divers logiciels malveillants. Bien que la détection et l'étiquetage de l'outil de piratage en tant que "Hacktool:Win32/Keygen" par votre antivirus n'indiquent pas toujours que votre système est infecté par un logiciel malveillant réel, il peut être judicieux d'effectuer une analyse approfondie de votre système. Les infections qui peuvent être distribuées aux côtés d'outils générateurs de clés sont les ransomwares (logiciels qui cryptent les données et demandent de l'argent aux victimes), les crypto-mineurs (logiciels qui exploitent furtivement la crypto-monnaie pour les cybercriminels), les chevaux de Troie bancaires, les logiciels espions et d'autres types d'infiltrations potentiellement dévastatrices. L'installation de tels logiciels malveillants sur votre système peut entraîner de graves problèmes de confidentialité, des pertes financières, une dégradation des performances du PC et d'autres types de menaces. Ainsi, si vous avez récemment utilisé un outil de piratage de licence (Hacktool:Win32/Keygen) et que vous pensez que votre système pourrait être en danger, assurez-vous de lire notre guide ci-dessous et analysez votre système avec un logiciel anti-malware efficace pour détecter et éliminer les menaces possibles. .