Virus

Crypte des Titans est une infection de type ransomware. Il crypte les données stockées dans le système et demande aux victimes de payer une petite rançon de 20 zlotys polonais (environ 4,5 dollars). Lors du chiffrement, il ajoute le nouveau .titancrypt à chaque fichier crypté le rendant plus accessible. Par exemple, un fichier précédemment intitulé comme 1.png va changer pour 1.png.titancrypt et perdre son icône d'origine. Des instructions sur la façon de payer l'argent demandé peuvent être trouvées à l'intérieur de ___RECOVER__FILES__.titancrypt.txt - un fichier texte injecté dans chaque dossier avec des données cryptées dont votre bureau. Parallèlement à cela, il affiche une fenêtre contextuelle indiquant combien de fichiers ont été cryptés. Contrairement à d'autres infections de ce type, l'acteur prétendument polonais de la menace derrière son Titancrypt Ransomware a écrit des instructions courtes et claires sur ce que les victimes doivent faire. On dit qu'il le contacte via son discord (titanware # 1405) et envoie 20 zlotys polonais via PaySafeCard. Bien que le développeur du rançongiciel ne donne pas de détails à ce sujet, le paiement de la rançon devrait logiquement conduire à un décryptage complet des données. De nombreuses infections de rançongiciels (contrairement à celle-ci) demandent des rançons allant de centaines à des milliers de dollars. Ainsi, les utilisateurs victimes de Titancrypt Ransomware ont eu un peu de chance puisque 4,5 dollars n'est pas beaucoup d'argent pour beaucoup. Vous pouvez payer ce montant et faire déchiffrer vos données, sauf si des copies de sauvegarde sont disponibles. Si vos fichiers cryptés sont sauvegardés sur un stockage externe, vous pouvez ignorer le paiement de la rançon et récupérer à partir des sauvegardes après avoir supprimé le virus.

GUCCI est le nom d'une infection ransomware provenant de la soi-disant Phobos famille. Ce qu'il fait, c'est le cryptage des données stockées dans le système ainsi que les demandes de paiement pour le décryptage des fichiers. Les victimes pourront comprendre que leurs fichiers sont verrouillés grâce à une nouvelle apparence de fichier. Par exemple, un fichier comme 1.xlsx à 1.xlsx.id[9ECFA84E-3208].[tox].GUCCI. Les caractères à l'intérieur des nouveaux noms de fichiers peuvent varier en fonction de l'ID attribué à chaque victime. GUCCI Ransomware crée également deux fichiers texte - info.txt ainsi que info.hta qui décrivent tous deux des moyens de retourner l'accès aux données. Les cybercriminels disent que les victimes peuvent déchiffrer leurs données en négociant avec eux. En d'autres termes, pour acheter un outil de décryptage spécial qui débloquera l'accès aux données restreintes. Alors que le prix est gardé secret, les victimes sont guidées pour contacter les escrocs via le messager TOX. Après cela, les victimes recevront des instructions supplémentaires sur ce qu'il faut faire et comment acheter l'outil (en Bitcoins). En plus de cela, les développeurs proposent une offre de décryptage de fichiers 1 gratuit. Les victimes peuvent envoyer un fichier crypté sans valeur et le récupérer entièrement utilisable gratuitement. Malheureusement, malgré le respect des demandes de paiement, certaines victimes d'autres variantes de rançongiciels ont signalé qu'elles avaient été dupées et qu'elles n'avaient absolument aucun décryptage promis.

Basta noir est le nom d'une infection ransomware destinée davantage aux entreprises qu'aux utilisateurs ordinaires (sociétés financières, sociétés privées, etc.). Il utilise donc des normes de chiffrement de haut niveau pour chiffrer les données stockées sur un réseau, ce qui les rend plus accessibles. Les victimes infectées par ce virus verront leurs données changer de la manière suivante - 1.pdf à 1.pdf.basta, 1.xlsx à 1.xlsx.basta, et ainsi de suite avec d'autres données cryptées. Après cela, Black Basta crée une note de texte appelée readme.txt, qui fournit des instructions sur la façon de récupérer les données. Les fonds d'écran par défaut seront également remplacés par le virus. Comme indiqué dans la note, les victimes peuvent démarrer le processus de décryptage en visitant le lien Tor joint et en se connectant au chat avec leur identifiant d'entreprise. En allant plus loin, les cybercriminels donneront les informations et instructions nécessaires sur la façon de développer le processus. Certaines victimes signalant leur cas d'infection par Black Basta Ransomware ont montré que les cybercriminels avaient besoin de 2 millions de dollars pour payer le décryptage. Notez que cette somme est susceptible d'être variable en fonction de la taille de l'entreprise infectée et de la valeur des informations collectées. En plus de tout ce qui est mentionné, les extorqueurs menacent que si les victimes ne négocient pas en vue d'un accord réussi ou déclinent intentionnellement l'offre, toutes les données recueillies seront susceptibles d'être publiées en ligne. Parfois, le plus grand danger d'être infecté n'est pas de perdre des données, mais plutôt de risquer de perdre la réputation de votre entreprise.

selena est une infection ransomware perturbatrice ciblant principalement les réseaux d'entreprise. Il crypte les données stockées sur le réseau et demande aux victimes de payer une rançon monétaire pour leur retour. Pendant le cryptage, Selena modifie la façon dont les fichiers d'origine apparaissent - les fichiers qui ne sont plus accessibles acquièrent un identifiant de victime généré de manière unique, l'adresse e-mail des cybercriminels et le .selena extension. Pour illustrer, un fichier initialement intitulé comme 1.xlsx va changer pour id[q2TQAj3U].[Selena@onionmail.org].1.xlsx.selena et réinitialiser son icône à vide. Une fois ce processus terminé, le rançongiciel crée un fichier nommé selena.txt, qui est une note textuelle expliquant comment récupérer les fichiers. On dit qu'il n'y a aucun moyen de décrypter les données restreintes autre que de négocier directement avec les cybercriminels. Pour obtenir de plus amples informations, les victimes sont invitées à écrire à l'une des adresses e-mail suivantes (selena@onionmail.org ou selena@cyberfear.com) et à indiquer leur identifiant personnel dans le titre. Afin d'obtenir le décodeur et les clés privées nécessaires, qui déverrouilleront l'accès aux données, les victimes doivent payer de l'argent (en bitcoins). Le prix reste inconnu et n'est susceptible d'être calculé individuellement qu'après avoir contacté les escrocs. De plus, les cybercriminels proposent aux victimes d'envoyer 2 fichiers ne contenant aucune information précieuse (moins de 5 Mo) et d'obtenir le décryptage gratuitement. Cette offre fonctionne comme une mesure de garantie prouvant qu'ils sont réellement capables de déchiffrer vos données. Malheureusement, les options pour décrypter les fichiers sans l'aide de cybercriminels sont moins susceptibles d'exister.

Pipikaki est une récente infection ransomware dévastatrice signalée par les victimes sur les forums. Les logiciels malveillants de ce type sont également connus sous le nom de crypto-virus, conçus pour crypter les données stockées dans le système et faire chanter les victimes afin qu'elles paient de l'argent pour leur retour. Pipikaki fait exactement la même chose en renommant les fichiers ciblés avec l'ID de la victime et .@PIPIKAKI extension pendant le chiffrement. Par exemple, un fichier précédemment nommé 1.pdf va changer pour 2.pdf.[8A56562E].@PIPIKAKI ou similaire en fonction de l'identité de la victime. Les instructions sur la façon de renvoyer les fichiers restreints sont ensuite présentées dans un fichier nommé NOUS POUVONS RÉCUPÉRER VOS DONNÉES.txt. La note de rançon guide les utilisateurs pour contacter les développeurs (via Skype, le chat en direct ICQ ou l'e-mail pipikaki@onionmail.org) et négocier le retour des données. En règle générale, de nombreux cybercriminels demandent à leurs victimes de payer un certain montant de rançon monétaire (le plus souvent en crypto-monnaies). On dit aussi que le non-respect de ce que demandent les escrocs entraînera la publication de toutes les données sensibles. Ils menacent de divulguer des informations commerciales importantes (données des clients, factures, rapports annuels, etc.) qui ont été collectées à partir de la machine/du réseau crypté.

Axes est un virus rançongiciel. Les infections de ce type visent à empêcher les utilisateurs d'accéder à leurs données personnelles. Cela se fait par le biais du soi-disant processus de cryptage généralement suivi de tentatives de chantage aux victimes pour qu'elles paient de l'argent pour le retour des données. Après avoir réussi à attaquer un système, Axxes chiffre les fichiers ciblés et les renomme à l'aide du .axxes extension. Pour illustrer, un fichier normal comme 1.png va changer pour 1.png.axxes et réinitialiser également son icône. Le reste des données sera également renommé en fonction du même modèle. Ensuite, le virus crée deux fichiers contenant des instructions de déchiffrement (RESTORE_FILES_INFO.hta ainsi que RESTORE_FILES_INFO.txt). Les cybercriminels affirment que toutes les données relatives aux entreprises et aux employés ont été à la fois cryptées et téléchargées sur des serveurs externes. Si les victimes refusent de collaborer avec les développeurs, ces derniers revendiquent leur droit de publier les données des victimes sur des ressources spécialisées. Pour éviter cela, les victimes sont invitées à ouvrir le navigateur Tor à l'adresse du site Web joint et à contacter les escrocs pour payer le décryptage. La page de l'oignon affiche également un certain nombre d'onglets, y compris ce que d'autres entreprises ont déjà été compromises par le virus. C'est malheureux, mais pour l'instant, il n'existe aucun moyen gratuit de décrypter complètement les fichiers Axxes. De plus, couper toutes les extrémités avec les cybercriminels les motivera certainement à divulguer vos données collectées.

Récemment découvert par un chercheur de logiciels malveillants nommé Petrovitch, Je vais faire face est une infection ransomware capable de crypter les données stockées dans le système. La recherche a montré qu'il supprime et remplace également certaines données par des fichiers aléatoires et inutiles, qui apparaissent avec le .se débrouiller extension. D'autre part, les fichiers cryptés par GonnaCope ne changent pas d'apparence et restent exactement les mêmes mais ne sont plus accessibles. Pour récupérer l'accès aux fichiers cryptés, les escrocs derrière le virus guident les victimes pour effectuer un transfert de 100 $ (en Bitcoin) à l'adresse crypto jointe dans le ReadMe.txt Remarque. De plus, il affiche également une fenêtre cmd avec des informations presque identiques. Après avoir envoyé l'argent, les développeurs de rançongiciels promettent de fournir à leurs victimes une clé de déchiffrement pour restituer les données. Que l'on puisse ou non faire confiance aux cybercriminels n'est jamais sans incertitude. En général, les fraudeurs ont mauvaise réputation car ils sont capables de vous tromper et de ne pas envoyer les outils de décryptage promis à la fin. Quoi qu'il en soit, ce sont les seuls personnages qui ont la capacité de décrypter vos données en ce moment. Les victimes peuvent éviter de payer la rançon uniquement s'il existe des copies de sauvegarde disponibles sur des appareils externes. De cette façon, ils peuvent être utilisés pour récupérer des fichiers cryptés et plus utilisables. Si vous n'êtes pas favorable au paiement de la rançon requise et que vous n'avez pas de sauvegardes à utiliser, vous pouvez toujours utiliser des outils tiers - il est possible qu'ils puissent vous aider dans certaines circonstances.

PARKER est le nom d'un programme rançongiciel conçu pour crypter les données des utilisateurs et extorquer de l'argent aux victimes. Il s'agit probablement d'un produit de cybercriminels qui ont développé deux autres chiffreurs de fichiers dévastateurs nommés ZORN ainsi que MATILAN. Tout comme eux, PARKER crée le même RESTORE_FILES_INFO.txt note textuelle sur la façon de récupérer des données cryptées. Lors du cryptage, le virus modifie divers types de fichiers potentiellement importants selon le modèle suivant - de 1.pdf à 1.pdf.PARKER et ainsi de suite avec d'autres fichiers stockés sur un système. En conséquence, ce changement rendra les fichiers inutilisables sans un outil de décryptage spécial, qui doit être acheté auprès des cybercriminels. À moins que les victimes ne contactent les acteurs de la menace via des adresses de contact écrites et ne paient la rançon monétaire requise dans les 3 jours donnés, ces dernières menacent de divulguer les données collectées aux ressources publiques. Cela comportera un risque de démystification des informations sur les entreprises privées, qui peuvent être utilisées à mauvais escient par des concurrents ou d'autres personnalités frauduleuses. Bien qu'il soit toujours déconseillé de collaborer avec des cybercriminels, ils pourraient être les seuls chiffres capables de fournir un décryptage complet des données et de garantir en quelque sorte de ne pas publier d'informations sensibles. Malheureusement, aucun outil tiers ne pourrait au moins décrypter vos données gratuitement. La meilleure option possible consiste à récupérer les fichiers cryptés via des sauvegardes stockées sur des appareils non infectés (par exemple, des cartes flash USB, d'autres PC, le Cloud, etc.).