Virus

Kashima (KashimaWare) est un programme ransomware - le type de logiciel malveillant conçu pour crypter les données et exiger de l'argent pour leur retour. Contrairement à d'autres infections de ce type, le virus cible des formats de fichiers spécifiques et assez inhabituels - .config, .cfg, .js, .NOOB, .lua, .lwet .tryme ainsi que. Il les modifie donc avec le .KASHIMA extension. Par exemple, un fichier comme 1.js va changer pour 1.js.KASHIMA, 1.cfg à 1.cfg.KASHIMA et ainsi de suite avec d'autres données affectées. Dès que ce processus est terminé, Kashima affiche un message contextuel (AVERTISSEMENT !) sur tout l'écran.

Aussi connu sous le nom RenardLame, Hermétique est un virus dévastateur conçu pour effacer les données stockées dans le système et empêcher les machines de répondre ou de fonctionner complètement. Les logiciels malveillants dotés de telles capacités sont généralement connus sous le nom d'effaceurs de disque. HermeticWiper a été découvert en train d'attaquer des organismes gouvernementaux et des structures commerciales en Ukraine le 24 février. De nombreux chercheurs pensent qu'HermeticWiper a reçu ce nom sur la base d'un certificat numérique volé à une société appelée Hermetica Digital Ltd. Ce certificat permet au virus de se déguiser en logiciel légitime pour contourner la détection de Windows. En cas d'infiltration réussie, HermeticWiper corrompt la majorité des données stockées et supprime également les clichés instantanés de Windows. Cette fonctionnalité entraîne une perte permanente de données rendant les victimes incapables de les récupérer par la suite. Comme mentionné, HermeticWiper rend les systèmes infectés pratiquement inutilisables - il le fait en perturbant le Master Boot Record (MBR), un important secteur Windows responsable du démarrage correct du système. Tant qu'HermeticWiper détient le contrôle de votre système, il peut faire presque tout ce qu'il veut - installer des logiciels malveillants supplémentaires, lancer des attaques DDoS, enregistrer des frappes au clavier, de l'audio, de la vidéo, abuser des ressources système pour exploiter des crypto-monnaies, déployer des commandes à distance et de nombreuses autres actions perturbatrices. HermeticWiper n'est pas le seul mais l'un des rares virus distribués dans le cadre de cette campagne géopolitique sur l'Ukraine.

Désolé, c'est juste des affaires est le nom d'un virus rançongiciel. Comme d'autres infections de ce type, il crypte les données personnelles et fait chanter les victimes pour qu'elles paient une rançon. Le processus de cryptage peut être facilement repéré en examinant les fichiers concernés. Sorryitsjustbusiness modifie leurs extensions d'origine en caractères aléatoires et réinitialise les icônes en blanc. Pour illustrer, un fichier comme 1.pdf peut changer en 1.pdf.ws9y, 1.png à 1.png.kqfb, et ainsi de suite avec d'autres extensions et fichiers aléatoires. Après un cryptage réussi, le virus crée une note de texte appelée read_it.txt et installe de nouveaux fonds d'écran. La note textuelle et les fonds d'écran affichent des informations sur la façon de récupérer les données. Les victimes disent qu'il est nécessaire d'acheter une clé exclusive pour décrypter leurs fichiers. Le coût de cette clé est de 150,000 XNUMX $ à payer en Bitcoin à l'adresse crypto jointe. Une fois le transfert effectué, les victimes doivent informer les escrocs en envoyant un message à leur adresse e-mail (désoléitsjustbusiness@protonmail.com). Si les victimes ne le font pas dans les 24 heures après avoir été infectées, le prix du décryptage doublera. Il est également mentionné que les fichiers cryptés seront supprimés après 48 heures d'inaction des victimes. Sur la base du montant de rançon demandé, nous pouvons alors supposer que l'objectif de Sorryitsjustbusiness est fixé sur les entreprises avec un bon niveau de revenus. En règle générale, il est déconseillé de faire confiance aux cybercriminels et de payer la rançon qu'ils souhaitent.

Faire partie du Babouk famille, CASIER ANUBIZ est une infection ransomware conçue pour crypter les données. Pour ce faire, il utilise des algorithmes de cryptage sécurisés et modifie les noms des données concernées avec le .lomer extension. Pour illustrer, un fichier appelé 1.pdf va changer pour 1.pdf.lomer et réinitialiser son icône d'origine à vide. Après avoir réussi à restreindre l'accès aux données, le virus fait chanter les victimes pour qu'elles paient une rançon. Cela se fait à travers le How To Restore Your Files.txt fichier texte créé sur des appareils compromis. Le fichier indique que tous les fichiers précieux ont été cryptés et copiés sur les serveurs des cybercriminels, toutes les sauvegardes ont également été supprimées. Les victimes peuvent potentiellement restaurer leurs données en achetant un logiciel de décryptage spécial proposé par les attaquants. Il est guidé pour établir un contact avec les cybercriminels en utilisant leur adresse e-mail pour obtenir plus de détails sur le décryptage. Les utilisateurs infectés sont également autorisés à joindre un fichier à leur message et à le décrypter gratuitement. Si les victimes ignorent ces demandes et s'attardent à payer la rançon, les cybercriminels menacent de commencer à divulguer les fichiers collectés vers des ressources du dark web.

Qmam4 est une infection à haut risque classée comme cryptovirus. La raison pour laquelle il porte ce nom réside dans son comportement après l'attaque - le virus demande aux victimes de payer une somme d'argent en crypto-monnaie lors du blocage de l'accès aux données. Ces infections sont également connues sous le nom de ransomwares. Ils cryptent les données personnelles et font chanter les victimes pour qu'elles paient la rançon. Lors du chiffrement, Qmam4 attache une chaîne de caractères aléatoires et le nouveau .qmam4 extension à chaque fichier affecté. Par exemple, 1.pdf va changer pour 1.pdf.{random sequence}.qmam4 devenant plus accessible. Suite à cela, Qmam4 crée un fichier texte appelé C3QW_HOW_TO_DECRYPT.txt qui illustre comment les victimes peuvent déverrouiller leurs données. On dit que les victimes peuvent déchiffrer et empêcher la vente de données importantes sur les ressources du dark web. Pour ce faire, les victimes sont invitées à contacter les cybercriminels en utilisant le lien Tor. Après avoir pris contact avec les développeurs, ils vous diront soi-disant d'envoyer de l'argent en crypto-monnaie et de récupérer un outil de décryptage spécial par la suite. Si les victimes refusent de suivre les instructions, les données collectées seront divulguées aux mains de personnalités tierces. Malheureusement, la collaboration avec des cybercriminels pourrait être le seul moyen de décrypter vos données et d'éviter les données exfiltrées publiquement. Il est moins probable qu'un outil tiers puisse déchiffrer vos données gratuitement sans l'aide d'attaquants.

ALBASA est un virus de type ransomware conçu pour crypter les données stockées dans le système et faire chanter les victimes afin qu'elles paient de l'argent pour leur retour. Lors du cryptage, tous les fichiers acquièrent le nouveau .ALBASA extension et réinitialiser leurs icônes d'origine à vide. Cela s'accompagne également de la création de RESTORE_FILES_INFO.txt - une note textuelle contenant des instructions sur la façon de récupérer les données bloquées.

Ouverture automatique est une infection ransomware qui a été découverte assez récemment. Il crypte les fichiers personnels en ajoutant le .cantopen l'extension et la création du HELP_DECRYPT_YOUR_FILES.txt fichier texte pour faire chanter les victimes afin qu'elles paient la rançon. Pour illustrer, un fichier nommé 1.pdf sera modifié en 1.pdf.cantopen et déposez son icône de raccourci d'origine. Un tel changement sera appliqué à toutes les données ciblées les rendant plus accessibles.

Noir est le nom d'une infection ransomware qui a été découverte assez récemment. Il est développé pour exécuter le cryptage des données et faire chanter les victimes afin qu'elles paient de l'argent pour leur retour. Les victimes peuvent repérer un décryptage réussi simplement en regardant leurs fichiers - la majorité d'entre eux seront modifiés à l'aide du .black extension et perdre les icônes d'origine. Pour donner un exemple, 1.pdf sera modifié en 1.pdf.black, 1.png à 1.png.black, et ainsi de suite avec le reste des fichiers ciblés. Ensuite, dès que cette partie du cryptage est terminée, le virus affiche des instructions de décryptage à l'intérieur d'une note textuelle (read_me.txt).