Virus

Si vous vous demandez pourquoi vous ne pouvez pas accéder à vos données, c'est peut-être parce que Rançongiciel Mkp, Rançongiciel Baseus or Harmagedon Ransomware attaqué votre système. Ces crypteurs de fichiers appartiennent à la groupe de rançongiciels Makop, qui a produit un certain nombre d'infections similaires, notamment Mammon, Tomas, Oled, etc. Tout en cryptant toutes les données précieuses stockées sur un PC, cette version de Makop attribue l'identifiant unique des victimes, l'adresse e-mail des cybercriminels et le nouveau .mkp, .baseus or .harmagedon extensions pour mettre en évidence les fichiers bloqués. Par exemple, 1.pdf, qui était auparavant sûr, changera son nom en quelque chose comme 1.pdf.[10FG67KL].[icq-is-firefox20@ctemplar.com].mkp, 1.pdf.[7C94BE12].[baseus0906@goat.si].baseus or 1.pdf.[90YMH67R].[harmagedon0707@airmail.cc].harmagedon à la fin du cryptage. Peu de temps après que tous les fichiers ont été renommés avec succès, le virus va de l'avant et crée un fichier texte (readme-warning.txt) avec des instructions de rançon.

Pay2Decrypt est un virus de type ransomware qui crypte les données personnelles et fait chanter les victimes pour qu'elles paient la soi-disant rançon. Une rançon est généralement une somme d'argent que les cybercriminels exigent des utilisateurs pour le décryptage des fichiers. Chaque fichier crypté par le virus apparaîtra avec le .PAY2DECRYPT extension et un ensemble de caractères aléatoires. Pour illustrer, un échantillon nommé à l'origine 1.pdf sera changé en 1.pdf.PAY2DECRYPTRLD0f5fRliZtqKrFctuRgH2 réinitialiser également son icône. Après cela, les utilisateurs ne pourront plus ouvrir et afficher le fichier crypté. Immédiatement après un cryptage réussi, la rançon crée une centaine de fichiers texte avec un contenu identique - Pay2Decrypt1.txt, Pay2Decrypt2.txt, et ainsi de suite jusqu'à Pay2Decrypt100.txt.

Sojusz est le nom d'une infection ransomware. Il appartient au logiciel de rançon Makop famille qui conçoit un certain nombre de chiffreurs de fichiers différents. Sojusz bloque l'accès aux données et demande de l'argent pour leur décryptage. La recherche a montré qu'il met en évidence les fichiers cryptés en attribuant une chaîne de caractères aléatoire, ustedesfil@safeswiss.com adresse e-mail, et le .sojusz extension. Les dernières versions de Sojusz utilisaient les extensions suivantes : .bec, .nigra, .likeoldboobs, .[BillyHerrington].Gachimuchi, Cela signifie un fichier comme 1.pdf sera changé en 1.pdf.[fd4702551a].[ustedesfil@safeswiss.com].sojusz et ne deviennent plus accessibles. Une fois que tous les fichiers ciblés sont cryptés de cette façon, le virus crée un fichier texte appelé -----README_WARNING-----.txt (versions ultérieures créées également : !!!HOW_TO_DECRYPT!!!.txt, Horse.txt, README_WARNING_.txt ainsi que #HOW_TO_DECRYPT#.txt notes de rançon).

Tout récemment, les pirates ont découvert une nouvelle vulnérabilité Windows pour faciliter la pénétration des systèmes avec des logiciels malveillants. L'exploit est intrinsèquement lié à MSDT (Microsoft Support Diagnostic Tool) et permet aux cybercriminels d'effectuer diverses actions en déployant des commandes via la console PowerShell. Il s'appelait donc Follina et attribuait à ce tracker le code CVE-2022-30190. Selon certains experts réputés qui ont étudié ce problème, l'exploit réussit une fois que les utilisateurs ouvrent des fichiers Word malveillants. Les auteurs de menaces utilisent la fonctionnalité de modèle distant de Word pour demander un fichier HTML à un serveur Web distant. Suite à cela, les attaquants ont accès à l'exécution de commandes PowerShell pour installer des logiciels malveillants, manipuler des données stockées dans le système et exécuter d'autres actions malveillantes. L'exploit est également immunisé contre toute protection antivirus, ignorant tous les protocoles de sécurité et permettant aux infections de se faufiler sans être détectées. Microsoft travaille sur la solution d'exploit et promet de déployer une mise à jour de correctif dès que possible. Nous vous recommandons donc de vérifier constamment votre système pour de nouvelles mises à jour et de les installer éventuellement. Avant cela, nous pouvons vous guider à travers la méthode de résolution officielle suggérée par Microsoft. La méthode consiste à désactiver le protocole d'URL MSDT, ce qui empêchera d'autres risques d'être exploités jusqu'à ce qu'une mise à jour apparaisse.

Souvent confondus avec un virus distinct, les messages spammant les événements de Google Agenda sont en fait liés à une application malveillante/indésirable qui pourrait s'exécuter sur votre appareil Android. De nombreuses victimes se plaignent que les messages apparaissent généralement partout dans le calendrier et tentent de persuader les utilisateurs de cliquer sur des liens trompeurs. Il est probable qu'après l'installation d'une application indésirable, les utilisateurs confrontés à des spams aient actuellement accordé l'accès à certaines fonctionnalités, notamment des autorisations pour modifier les événements de Google Calendar. Les liens peuvent donc mener à des sites Web externes conçus pour installer des logiciels malveillants et d'autres types d'infections. En fait, toutes les informations revendiquées par eux ("virus grave détecté" ; "alerte de virus" ; "effacez votre appareil", etc.) sont très probablement fausses et n'ont rien à voir avec la réalité. Afin de résoudre ce problème et d'éviter que votre calendrier ne soit encombré de tels messages de spam, il est important de rechercher et de supprimer une application à l'origine du problème et de réinitialiser le calendrier pour nettoyer les événements indésirables.

Aussi connu sous le nom R.Ransomware, Rozbeh est une infection ransomware qui crypte les données stockées dans le système pour faire chanter les victimes afin qu'elles paient de l'argent pour leur récupération. Lors du chiffrement, il met en évidence les données bloquées en attribuant des caractères aléatoires composés de quatre symboles. Par exemple, un fichier comme 1.pdf peut changer en 1.pdf.1ytu, 1.png à 1.png.7ufr, et ainsi de suite. Selon la version de Rozbeh Ransomware qui a attaqué votre système, des instructions expliquant comment les données peuvent être récupérées peuvent être présentées dans des notes textuelles. read_it.txt, readme.txt, ou même dans une fenêtre contextuelle distincte. Il convient également de noter que la dernière infection à rançon développée par les escrocs de Rozbeh s'appelle Quax0r. Contrairement aux autres versions, il ne renomme pas les données chiffrées et affiche également ses directives de déchiffrement dans l'invite de commande. En général, toutes les notes de rançon mentionnées ci-dessus contiennent des schémas identiques pour guider les victimes à payer la rançon - contactez les créateurs de logiciels malveillants via Discord ou, dans certains cas, par e-mail et envoyez 1 Bitcoin (environ 29,000 XNUMX $ maintenant) à l'adresse crypto des cybercriminels . Une fois le paiement effectué, les extorqueurs promettent d'envoyer un décrypteur de fichiers avec la clé nécessaire pour déverrouiller les données cryptées. Malheureusement, dans la majorité des cas, les méthodes de cryptage utilisées par les cybercriminels pour rendre les fichiers inaccessibles sont complexes, rendant le décryptage manuel presque impossible. Vous pouvez essayer en utilisant certains instruments tiers dans notre tutoriel ci-dessous, cependant, nous ne pouvons pas garantir qu'ils fonctionneront réellement.

ZareuS est le nom d'une infection ransomware qui crypte les fichiers et extorque un montant en crypto aux victimes. Lors du cryptage, le virus modifie l'apparence du fichier à l'aide du .ZareuS extension. En d'autres termes, si un fichier comme 1.pdf finit par être affecté par l'infection, il sera remplacé par 1.pdf.ZareuS et réinitialiser également son icône d'origine. Par la suite, pour guider les victimes tout au long du processus de décryptage, les cybercriminels créent un fichier texte appelé HELP_DECRYPT_YOUR_FILES.txt à chaque dossier dont les données ne sont plus accessibles. Il indique que le cryptage s'est produit avec l'utilisation d'algorithmes RSA puissants. Les victimes sont donc invitées à acheter une clé de décryptage spéciale, qui coûte 980 $ et le montant doit être envoyé à l'adresse crypto des cybercriminels. Après cela, les victimes doivent notifier le paiement effectué en écrivant à lock-ransom@protonmail.com (adresse e-mail fournie par les attaquants). Comme mesure supplémentaire pour inciter les victimes à payer la rançon, les extorqueurs proposent de décrypter 1 fichier gratuitement. Les victimes peuvent le faire et recevoir un fichier entièrement déverrouillé pour confirmer que le décryptage fonctionne réellement. C'est malheureux de le dire, mais les fichiers cryptés par ZareuS Ransomware sont presque impossibles à décrypter sans l'aide de cybercriminels. Ce n'est peut-être que si le rançongiciel est bogué, contient des défauts ou d'autres inconvénients atténuant le décryptage par un tiers. Une méthode meilleure et garantie pour récupérer vos données consiste à les récupérer à l'aide de copies de sauvegarde. Si de tels fichiers sont disponibles sur un stockage externe non infecté, vous pouvez facilement les remplacer par vos fichiers cryptés.

LokiLok est le nom d'une infection de rançon. Une fois l'installation réussie sur un système ciblé, il crypte les fichiers importants et fait chanter les victimes pour qu'elles paient de l'argent pour leur décryptage. Nous avons également découvert que LokiLok a été développé sur la base d'un autre virus rançongiciel appelé Chaos. Une fois le cryptage effectué, les victimes peuvent voir leurs données changer avec le .LokiLok extension. Pour illustrer, un fichier nommé 1.pdf changera le plus pour 1.pdf.LokiLok et réinitialiser son icône d'origine. Après cela, les victimes ne pourront plus accéder à leurs données et devront demander des instructions de décryptage dans le read_me.txt dossier. Le virus remplace également les fonds d'écran par défaut par une nouvelle image. Les cybercriminels veulent que les victimes achètent un outil de décryptage spécial. Pour ce faire, les victimes doivent contacter les extorqueurs en utilisant l'adresse e-mail ci-jointe (tutanota101214@tutanota.com). Avant d'acheter le logiciel nécessaire, il est également proposé d'envoyer 2 petits fichiers - les cybercriminels promettent de les décrypter et de les renvoyer pour prouver leurs capacités de décryptage. En outre, le message déconseille également d'essayer d'utiliser des méthodes de récupération externes car cela peut entraîner une destruction irréversible des données. Quelles que soient les garanties données par les développeurs de ransomwares, il est toujours déconseillé de leur faire confiance. Beaucoup trompent leurs victimes et n'envoient pas le logiciel de décryptage même après leur avoir envoyé de l'argent.