Virus

Casier soviétique est un programme rançongiciel. Ransomware est un type de malware généralement conçu pour crypter les fichiers stockés sur le système et faire chanter les victimes afin qu'elles paient de l'argent pour leur retour. Soviet Locker est un cas étonnamment différent - le virus ne demande pas d'argent pour le décryptage. Au lieu de cela, il affiche une fenêtre contextuelle affirmant que les fichiers restreints peuvent être déverrouillés à l'aide d'un mot de passe. Ce mot de passe ne peut pas être récupéré auprès des cybercriminels en raison d'un manque d'informations de contact. La raison en est peut-être que Soviet Locker est toujours en cours de développement et peut être mis à jour avec de réelles demandes de paiement à l'avenir. Pour l'instant, les fichiers affectés par Soviet Locker peuvent être déchiffrés sans l'aide de cybercriminels. Les chercheurs en virus ont réussi à faire correspondre le bon mot de passe qui fonctionne pour la majorité des victimes. Le mot de passe est c819381734f8s2748a8239j872hdhc7c8 et doit être saisi dans un champ de la fenêtre contextuelle. Une fois saisies, toutes les données précédemment bloquées redeviendront pleinement utilisables. Notez qu'après avoir récupéré l'accès aux fichiers, il est également très important de s'assurer que le virus ne fonctionne plus à l'intérieur de votre système. Sinon, il peut continuer à chiffrer d'autres fichiers ou télécharger également d'autres infections. Suivez nos instructions ci-dessous pour le supprimer et éventuellement restaurer une expérience informatique sécurisée.

Journée ensoleillée est le nom d'une infection ransomware dévastatrice. Il a été développé pour provoquer le cryptage des données personnelles et aider ses développeurs à en tirer parti. Après avoir restreint l'accès aux fichiers à l'aide de .SunnyDay extension, le virus commence à faire chanter les victimes pour qu'elles paient des frais de décryptage. Cette information est présentée à l'intérieur d'une note textuelle (!-Recovery_Instructions-!.txt) créé lors du chiffrement des données ciblées. Les victimes sont guidées pour contacter les développeurs en utilisant la communication par e-mail (restaurerassistance_net@wholeness.business or restaurerassistance_net@decorous.cyou) et payez pour un logiciel de décryptage spécial. Les cybercriminels préviennent qu'essayer d'utiliser un logiciel tiers pour décrypter les données entraînera des dommages immédiats aux fichiers. Il est également indiqué que tous les fichiers cryptés ont été téléchargés sur les serveurs des cybercriminels, qui, en cas de refus de paiement, seront transmis (vendus) aux parties potentiellement intéressées. De plus, les victimes se voient proposer d'envoyer 2 ou 3 non importants et de les faire décrypter gratuitement. Ceci est utilisé par les escrocs pour montrer qu'ils sont réellement capables de déchiffrer les données. Malheureusement, le décryptage des données sans l'aide de cybercriminels est plus susceptible de corrompre les données et de les rendre plus décryptables. Il est très possible que les développeurs de rançongiciels aient intégré une protection qui détecte toute tentative non autorisée de modification des données. Les utilisateurs peuvent récupérer leurs données à l'aide d'une copie des fichiers sauvegardés sur un stockage non infecté. Malheureusement, cela n'élimine pas les menaces de fuite de données collectées vers des ressources en ligne.

Si vous n'êtes plus en mesure d'accéder à vos fichiers et que vous les voyez apparaître comme ceci 1.pdf.acepy, alors vous êtes probablement infecté par Acepy Ransomware. Il s'agit d'un virus de cryptage conçu pour rendre les fichiers inaccessibles et faire chanter les victimes pour qu'elles paient la soi-disant rançon. L'infection le fait par le biais d'une demande de rançon (ACEPY_README.txt) créé lors du chiffrement réussi des données ciblées. Il force également l'ouverture d'une fenêtre d'invite de commande avec des informations identiques au fichier texte que nous avons mentionné ci-dessus. Les notes décrivent brièvement comment récupérer les fichiers bloqués. Les victimes doivent contacter les développeurs Acepy via l'adresse e-mail AcepyRansom@protonmail.com et acheter un logiciel de décryptage spécial au prix annoncé après avoir établi la communication avec eux. Bien qu'il n'y ait pas d'informations précises sur le montant que les escrocs doivent payer, il est fortement déconseillé de répondre à leurs demandes. Cela est dû à la tendance des cybercriminels à tromper leurs victimes et à ne pas envoyer les outils de décryptage promis par la suite. Malgré cela, les développeurs de virus initiaux pourraient être les seuls personnages capables de décrypter entièrement vos données. L'utilisation d'outils de décryptage tiers pour tenter d'éviter de payer la rançon n'aboutit souvent à aucun résultat anticipé.

Découvert en 2019, Cerberus est un programme malveillant classé comme un cheval de Troie bancaire qui cible les utilisateurs d'Android. Cette application est déguisée en Adobe Flash Player Updater et est téléchargée en tant que .apk fichier. Tout comme les fichiers exécutables, les extensions .apk sont destinées à lancer l'installation des applications. Alors que les utilisateurs pensent qu'il mettra à jour le logiciel promis, ils sont infectés par inadvertance par un programme malveillant sans leur consentement. Par la suite, les cybercriminels peuvent contrôler votre appareil en se connectant à un botnet et en recevant des commandes du serveur Command & Control (C2). Une fois que les extorqueurs ont établi le contact avec votre appareil, ils peuvent facilement le faire fonctionner en envoyant des commandes à distance. Cela signifie que les escrocs peuvent voir et collecter des données sensibles, des informations d'identification, modifier les paramètres et exécuter d'autres manipulations qui exposent votre activité à des tiers. Notez que les réseaux sociaux et les comptes bancaires peuvent être piratés et détournés à des fins d'escroquerie et de revenus. Si vous pensez que Cerberus a infecté votre appareil, vous devez effectuer une analyse immédiate et le supprimer dès que possible. Nous verrons comment le faire un peu plus loin dans l'article ci-dessous.

Voleur RedLine est un logiciel malveillant qui cible les utilisateurs d'ordinateurs afin de voler des données importantes. Le virus est disponible publiquement sur les forums de pirates pour le prix de 150-200$. Il est donc utilisé pour installer sur des systèmes non protégés et commencer à collecter des informations sensibles comme les mots de passe, les identifiants, les détails bancaires et d'autres types de données pour accéder à divers comptes dans les médias sociaux, les applications bancaires ou les portefeuilles de crypto-monnaie. Parmi la liste des crypto-portefeuilles ciblés figurent AtomicWallet, Armory, BitcoinCore, Ethereum, DashCore, Electrum, Bytecoin, Zcash, Jaxx, Exodus, LitecoinCore et Monero également. Il a également été repéré pour désactiver le fonctionnement de clients VPN comme ProtonVPN, OpenVPN et NordVPN - probablement pour alléger le processus de collecte de données. En général, RedLine Stealer est conçu pour capitaliser sur les données recueillies. Les cybercriminels peuvent donc utiliser à mauvais escient des informations précieuses pour générer des profits et nuire à leur réputation. Il est également possible que ce virus fournisse des logiciels malveillants supplémentaires tels que des chevaux de Troie ou des infections à haut risque similaires aux rançongiciels (crypteurs de fichiers). Ainsi, si vous soupçonnez RedLine Stealer d'avoir attaqué votre système, utilisez immédiatement notre tutoriel ci-dessous pour supprimer l'infection et restaurer une expérience informatique sûre.

Quantum est le nom d'une infection ransomware. Il a été délibérément développé pour crypter les données stockées dans le système et faire chanter les victimes afin qu'elles paient de l'argent pour leur retour. Le virus utilise des algorithmes de qualité militaire pour empêcher les utilisateurs d'accéder à leurs propres fichiers. Il ajoute également le .quantum extension pour mettre en évidence les données dont l'accès est bloqué. Par exemple, un fichier nommé 1.pdf va changer pour 1.pdf.quantum et déposez son icône d'origine. Après cela, Quantum Ransomware crée un fichier HTML appelé README_TO_DECRYPT.html. Le fichier est destiné à montrer des instructions sur le retour des données.

Pandora est une infection ransomware précédemment connue sous le nom de Tour Ransomware. Le virus utilise des algorithmes RSA-2048 pour chiffrer les données stockées dans le système et exiger de l'argent pour son déchiffrement. Afin de montrer que l'accès aux fichiers a été restreint, les cybercriminels attribuent le .pandora extension à chaque échantillon affecté. Par exemple, un fichier nommé 1.pdf va changer pour 1.pdf.pandora et réinitialiser son icône d'origine. Suite à cela, le rançongiciel crée un fichier texte (Restaurer_Mes_Files.txt) avec des instructions sur la façon de récupérer les données. Il dit que les victimes doivent contacter les développeurs (via contact@pandoraxyz.xyz) et payez pour un logiciel de décryptage spécial. Le prix dépend de la vitesse à laquelle vous écrivez, comme disent les cybercriminels. En cas de refus d'acheter le décryptage, les fraudeurs derrière Pandora Ransomware préviennent qu'ils publieront les données collectées sur les marchés du dark web. Les victimes peuvent voir quelles données ont été collectées dans le navigateur TOR via un lien fourni dans la note. Lorsqu'elles contactent des cybercriminels, les victimes sont également autorisées à joindre 3 fichiers cryptés avant de payer la rançon. Les développeurs de Pandora promettent de les décrypter gratuitement pour prouver les capacités de leur décodeur. La note de rançon se termine par des avertissements contre l'essai de moyens de décryptage tiers, car cela pourrait causer des dommages permanents aux données. En général, décrypter des fichiers sans les développeurs initiaux est en effet presque impossible.

Entreprise cible est un nouveau virus rançongiciel qui a fait connaître sa présence en janvier 2022. Lors de l'infection du système, le virus met fin à de nombreux processus Windows essentiels pour préparer le sol à un cryptage plus facile des données. L'équipe de recherche a effectué une analyse et a conclu que TargetCompany Ransomware utilise une combinaison d'algorithmes Chacha20 et AES-128 pour écrire des chiffrements forts sur les données stockées. Il ajoute également l'une des 3 extensions de fichier différentes à chaque échantillon crypté - .devicZz, .consultrasomou .avast. Cela signifie un fichier nommé 1.pdf peut changer en 1.pdf.devicZz, 1.pdf.consultransomou 1.pdf.avast selon les cas individuels. TargetCompany remplit également chaque dossier crypté avec une note de texte appelée INFORMATIONS DE RÉCUPÉRATION.txt (Comment décrypter les fichiers.txt pour les versions précédentes). Une copie de la note de rançon est également placée dans ce chemin C:\HOW TO RECOVER !!.TXT. Comme indiqué dans la note, les utilisateurs doivent acheter un outil de décryptage spécial pour renvoyer leurs données. Pour ce faire, les victimes sont invitées à envoyer leur identifiant personnel à l'une des adresses e-mail (recohelper@cock.li ou mallox@tutanota.com). Il est également permis d'envoyer quelques fichiers pour un test de décryptage gratuit. Après cela, les cybercriminels promettent d'annoncer le prix de l'ensemble du décryptage et de fournir des instructions sur la façon d'acheter le décodeur. En règle générale, il est presque impossible de déchiffrer gratuitement les fichiers affectés par des infections par ransomware sans l'aide de cybercriminels.