Virus

MarioLocker est un logiciel malveillant classé dans la catégorie des ransomwares, un type de malware qui crypte les fichiers des victimes, les rendant ainsi inaccessibles. L’objectif principal des attaquants de ransomware est d’exiger une rançon des victimes, généralement en échange d’une clé de déchiffrement nécessaire pour déverrouiller les fichiers cryptés. MarioLocker Ransomware ajoute une extension unique aux fichiers cryptés. Il renomme les fichiers en ajoutant le .wasted poste suivi d'un numéro séquentiel, tel que .wasted1, .wasted2, et ainsi de suite. Cette convention de changement de nom sert d'indicateur clair de la présence du ransomware sur le système. La demande de rançon est un élément essentiel de la stratégie du ransomware, car elle fournit aux victimes des instructions sur la manière de procéder. MarioLocker crée un fichier texte nommé @Readme.txt, qui contient un message de rançon. Ce fichier est généralement placé dans les mêmes répertoires que les fichiers cryptés ou dans un emplacement bien en vue tel que le bureau. La note demande aux victimes d'ouvrir un fichier nommé «WastedBitDecryptor» et de suivre les étapes décrites ci-dessous. De plus, il dirige les victimes vers un fichier appelé YourFiles.txt situé dans le répertoire "C:\Windows\Temp", qui contient une liste de fichiers cryptés.

RTM Locker Ransomware, également connu sous le nom de Read The Manual Locker, est devenu une menace importante dans le paysage de la cybersécurité. Ce logiciel malveillant fait partie d'un modèle Ransomware as a Service (RaaS), dans lequel les affiliés se voient facturer un pourcentage de leurs bénéfices pour l'utilisation de l'infrastructure RTM Locker pour lancer leurs attaques. Ce modèle a facilité la diffusion de RTM Locker, ce qui en fait une menace répandue tant pour les individus que pour les organisations. Lors de l'infection, RTM Locker ajoute une extension unique de 64 caractères aux noms de fichiers de tous les fichiers cryptés, les rendant inaccessibles aux utilisateurs. Cette extension est une combinaison de caractères aléatoires, compliquant considérablement l'identification et la récupération des fichiers concernés. La méthode de cryptage utilisée par RTM Locker implique une combinaison de cryptage asymétrique et symétrique, rendant pratiquement impossible le décryptage des fichiers sans la clé privée de l'attaquant. RTM Locker dépose une demande de rançon nommée How To Restore Your Files.txt sur le bureau de la victime. Cette note informe les victimes du cryptage et exige un contact dans les 48 heures pour empêcher la diffusion publique des données cryptées. La note met en garde contre toute tentative de décryptage des fichiers de manière indépendante, car cela pourrait entraîner une perte permanente de données.

Virus Apex Légendes est une menace de cybersécurité qui cible les fans du populaire jeu Battle Royale, Apex Legends. Cette menace est particulièrement insidieuse car elle se fait passer pour des astuces ou des améliorations du jeu, exploitant l'enthousiasme des joueurs cherchant à prendre l'avantage dans leur gameplay. Cependant, au lieu de fournir de réels avantages, il infecte les ordinateurs des utilisateurs avec des logiciels malveillants, entraînant ainsi un vol de données potentiel et d'autres activités malveillantes. La suppression du virus Apex Legends nécessite une approche approfondie pour garantir que tous les composants du logiciel malveillant sont éradiqués du système. L’utilisation d’un logiciel antivirus ou anti-spyware réputé pour exécuter une analyse complète du système peut aider à détecter et à supprimer le RAT et tout autre composant malveillant associé. Pour les utilisateurs ayant une expertise informatique, la suppression manuelle peut impliquer l'identification et la suppression de fichiers malveillants et d'entrées de registre, mais cette approche peut être risquée et n'est pas recommandée aux utilisateurs inexpérimentés. Dans certains cas, restaurer l'ordinateur à un état antérieur à l'infection peut aider à supprimer le logiciel malveillant, bien que cette méthode ne soit pas toujours efficace si le virus s'est profondément ancré dans le système. En dernier recours, la réinstallation complète du système d'exploitation supprimera tout logiciel malveillant présent, mais cela effacera également toutes les données de l'ordinateur. Cette opération ne doit donc être envisagée que si toutes les autres méthodes de suppression échouent.

JS/Agent Trojan fait référence à une grande famille de chevaux de Troie écrits en JavaScript, un langage de script populaire largement utilisé pour créer des pages Web dynamiques. Ces scripts malveillants sont conçus pour effectuer diverses actions non autorisées sur l'ordinateur de la victime, allant du vol de données au téléchargement et à l'exécution d'autres logiciels malveillants. En raison de l'utilisation répandue de JavaScript dans le développement Web, les chevaux de Troie JS/Agent peuvent facilement se fondre dans du contenu Web légitime, ce qui les rend particulièrement difficiles à détecter et à supprimer. Le cheval de Troie JS/Agent est une large classification d'une famille de fichiers JavaScript malveillants qui constituent des menaces importantes pour les systèmes informatiques. Ces chevaux de Troie sont connus pour leur polyvalence dans la fourniture de charges utiles, le vol de données et la facilitation d'un accès non autorisé aux systèmes infectés. Comprendre la nature du cheval de Troie JS/Agent, ses mécanismes d'infection et ses stratégies de suppression efficaces est crucial pour maintenir la cybersécurité. La suppression d'un cheval de Troie JS/Agent d'un système infecté nécessite une approche globale, car ces chevaux de Troie peuvent télécharger des logiciels malveillants supplémentaires et modifier les paramètres du système pour éviter d'être détectés.

Water Ransomware est un type de crypto-virus, un logiciel malveillant conçu pour crypter les fichiers sur l'ordinateur d'une victime et exiger une rançon pour leur décryptage. Il appartient à Phobos famille de rançongiciels. Cette cybermenace est particulièrement insidieuse car elle restreint non seulement l'accès à des données importantes, mais comporte également un risque de perte permanente de données et de contraintes financières. Une fois qu'un ordinateur est infecté, Water Ransomware crypte les fichiers de l'utilisateur avec un algorithme de cryptage sophistiqué et renomme les fichiers en ajoutant une extension unique. Le nouveau nom de fichier comprend l'identifiant de la victime, l'adresse e-mail de l'attaquant et le .water extension, marquant efficacement les fichiers comme inaccessibles. Par exemple le fichier 1.txt sera changé en 1.txt.id[random-ID].[aquaman@rambler.ua].water. Le ransomware génère une demande de rançon, qui se trouve généralement dans des fichiers nommés info.hta ainsi que le info.txt. Cette note explique aux victimes comment contacter les attaquants pour payer la rançon. Il met en garde contre les tentatives d'auto-décryptage ou l'utilisation de logiciels tiers, avertissant que de telles actions pourraient entraîner une perte irréversible de données. La note déconseille également de demander l’aide de sociétés intermédiaires, ce qui pourrait conduire à une augmentation des rançons ou à des stratagèmes frauduleux.

Glorysprout Stealer est un type de malware, en particulier un voleur, qui cible un large éventail d'informations sensibles, notamment les portefeuilles de crypto-monnaie, les identifiants de connexion, les numéros de carte de crédit, etc. Écrit en C++, il est basé sur le voleur Taurus abandonné, avec des soupçons selon lesquels le code source de Taurus avait été vendu, conduisant au développement de Glorysprout. Malgré le matériel promotionnel suggérant une variété de fonctionnalités, les analystes en cybersécurité ont noté certaines divergences entre les capacités annoncées et observées. Glorysprout est compatible avec les versions 7 à 11 du système d'exploitation Windows et prend en charge différentes architectures système. Il est commercialisé comme un logiciel personnalisable doté de prétendues capacités de détection de machines virtuelles, bien que cette fonctionnalité n'ait pas été confirmée par les analystes. Une fois l'infiltration réussie, Glorysprout collecte de nombreuses données sur l'appareil, notamment des détails sur le processeur, le GPU, la RAM, la taille de l'écran, le nom de l'appareil, le nom d'utilisateur, l'adresse IP et la géolocalisation. Il cible une variété de logiciels, notamment les navigateurs, les portefeuilles cryptographiques, les authentificateurs, les VPN, les FTP, les logiciels de streaming, les messageries, les clients de messagerie et les applications liées aux jeux. À partir des navigateurs, il peut extraire les historiques de navigation, les signets, les cookies Internet, les remplissages automatiques, les mots de passe, les numéros de carte de crédit et d'autres données vulnérables. De plus, il peut prendre des captures d'écran. Bien qu'il annonce des capacités de grabber (voleur de fichiers) et de keylogging (enregistrement de frappe), ces fonctionnalités étaient absentes dans les versions connues de Glorysprout.

Remcos RAT (Remote Control and Surveillance) est un cheval de Troie d'accès à distance activement utilisé par les cybercriminels depuis sa première apparition en 2016. Commercialisé comme un outil légitime d'administration à distance par son développeur, Breaking Security, Remcos a été largement utilisé à des fins malveillantes. Il permet aux attaquants d'accéder par une porte dérobée à un système infecté, leur permettant ainsi d'effectuer diverses actions à l'insu ou sans le consentement de l'utilisateur. Remcos RAT est un malware puissant et furtif qui présente des risques importants pour les systèmes infectés. Sa capacité à échapper à la détection et à persister en fait une menace redoutable. Cependant, en suivant les meilleures pratiques de prévention et en employant une approche globale de suppression, les organisations et les individus peuvent atténuer les risques associés à Remcos et protéger leurs systèmes contre toute compromission.

Looy Ransomware est un logiciel malveillant qui appartient à la famille des ransomwares STOP/DJVU, connu pour cibler aussi bien les utilisateurs individuels que les entreprises. Il est conçu pour crypter les fichiers sur l'ordinateur infecté, les rendant inaccessibles à l'utilisateur, puis exige le paiement d'une rançon en échange de la clé de décryptage. Lors du cryptage des fichiers, Looy Ransomware ajoute le .looy extension aux noms de fichiers, ce qui est un indicateur clair de l’infection. Looy Ransomware utilise un algorithme de cryptage robuste pour verrouiller les fichiers. Bien que le type spécifique de cryptage ne soit pas détaillé dans les sources fournies, il est courant que les ransomwares comme Looy utilisent AES (Advanced Encryption Standard) ou une méthode sécurisée similaire pour crypter les fichiers. Après le cryptage, Looy Ransomware crée une demande de rançon nommée _readme.txt et le place sur le bureau ou dans des dossiers contenant des fichiers cryptés. Cette note contient des instructions destinées à la victime sur la manière de contacter les attaquants et de payer la rançon pour potentiellement recevoir la clé de déchiffrement.