Virus

Originaire d'Italie, Giuliano est un programme de type rançongiciel configuré avec des algorithmes cryptographiques puissants (AES-256) pour exécuter un cryptage sécurisé des données. En bloquant l'accès aux fichiers personnels, les extorqueurs tentent de tromper les victimes en leur faisant payer de l'argent pour le décryptage des données. Les victimes peuvent détecter que leurs fichiers ont été cryptés simplement en regardant l'extension - le virus ajoute la nouvelle extension ".Giuliano" pour mettre en évidence les données bloquées. Cela signifie un fichier comme 1.pdf va changer pour 1.pdf.Giuliano et réinitialiser son icône d'origine. Des informations sur la récupération de fichiers peuvent être trouvées dans une note de texte appelée README.txt. Les instructions de décryptage à l'intérieur de ce fichier sont représentées en italien. Les cybercriminels informent les victimes de la réussite de l'infection et les encouragent à suivre les instructions énumérées. Ils disent que vous devriez visiter une page GitHub pour remplir certains formulaires. Après cela, les développeurs de logiciels malveillants sont susceptibles d'entrer en contact avec leurs victimes et de leur demander de payer une rançon. Habituellement, il est demandé d'exécuter le paiement en BTC ou dans une autre crypto-monnaie utilisée par les développeurs. Hélas, les chiffrements appliqués par Giuliano Ransomware sont solides et à peine déchiffrables avec des outils tiers. Pour l'instant, le meilleur moyen de récupérer vos fichiers en dehors de la collaboration avec des escrocs est d'utiliser des copies de sauvegarde.

Étant un virus ransomware dangereux, Tour cible le cryptage des données et essaie de faire chanter les utilisateurs pour qu'ils paient la rançon. Le virus est facile à distinguer des autres versions car il attribue le .tour extension à toutes les données bloquées. Cela signifie un fichier comme 1.pdf va changer pour 1.pdf.rook et réinitialise son icône d'origine une fois le cryptage réussi. Juste après cela, Rook Ransomware crée une note de texte nommée CommentRestaurerVosFichiers.txt montrer aux utilisateurs comment ils peuvent récupérer les données. Le contenu de la note de texte indique que vous ne pouvez restaurer l'accès à l'intégralité des données qu'en contactant des escrocs et en payant la rançon. La communication doit être établie par e-mail (tour@onionmail.org; securityRook@onionmail.org) ou le lien du navigateur TOR joint à la note. Lorsqu'elles écrivent un message aux cybercriminels, les victimes se voient proposer d'envoyer jusqu'à 3 fichiers (pas plus de 1 Mo) et de les faire décrypter gratuitement. De cette façon, les cybercriminels prouvent leurs capacités de décryptage ainsi que leur fiabilité dans une certaine mesure. De plus, si vous contactez des extorqueurs dans les 3 jours donnés, les cybercriminels offriront une remise de 50 % sur le prix du décryptage. À moins que vous ne respectiez ce délai, les développeurs de Rook commenceront à divulguer vos fichiers sur leur réseau pour en abuser sur les pages darknet par la suite. Ils disent également qu'aucun instrument tiers ne vous aidera à récupérer les fichiers.

HarponLocker est le nom d'une infection récente par ransomware signalée par les utilisateurs sur les forums de logiciels malveillants. Le virus exécute le cryptage des données avec les algorithmes AES-256 et RSA-1024, ce qui rend toutes les données restreintes cryptographiquement sécurisées. À la suite de ce changement de configuration, les utilisateurs ne pourront plus accéder à leurs propres données stockées sur des appareils infectés. HarpoonLocker attribue le .fermé à clé extension, qui est couramment utilisée par de nombreuses autres infections par ransomware. Cela la rend plus générique et parfois difficile à différencier d'autres infections comme celle-ci. Il crée également une note de texte (restaurer-fichiers.txt) contenant des instructions de rançon. Les développeurs disent que toutes les données ont été cryptées et divulguées à leurs serveurs. La seule façon d'annuler cela et de récupérer les fichiers en toute sécurité est de s'entendre sur le paiement de la rançon. Les victimes sont invitées à télécharger le messager qTOX et à contacter les extorqueurs là-bas. Il existe également une option pour essayer gratuitement le décryptage de 3 fichiers bloqués. Il s'agit d'une garantie donnée par les cybercriminels pour prouver qu'ils sont dignes de confiance. Malheureusement, il n'y a pas d'autres contacts en dehors de qTOX que les victimes pourraient utiliser pour engager une discussion avec des cybercriminels. De nombreux cyber-chercheurs ont plaisanté en disant que HarpoonLocker devrait également s'appeler sans nom qTOX Ransomware car il n'y a personne à qui les victimes peuvent parler. Pour cette raison et bien d'autres, il est fortement déconseillé de répondre aux exigences énumérées et de payer la rançon. Très souvent, les cybercriminels trompent leurs victimes et n'envoient aucun outil de décryptage même après avoir reçu l'argent.

D'abord trouvé et recherché par un expert indépendant nommé S!R!, NoCry est un programme ransomware conçu pour exécuter le cryptage des données. Il s'agit d'un schéma très populaire utilisé par les développeurs de ransomwares pour extorquer de l'argent aux victimes en cas de restriction réussie des données. Pour l'instant, il existe deux versions connues de NoCry qui diffèrent par les extensions attribuées aux données bloquées. C'est soit .Cry or .IHA extension qui sera ajoutée aux fichiers cryptés. Par exemple, 1.pdf va changer de look pour 1.pdf.Cry or 1.pdf.IHA et réinitialisez son icône de raccourci à vide après avoir été affecté par un logiciel malveillant. Les extorqueurs derrière NoCry Ransomware exigent un paiement pour le retour des données via un fichier HTML appelé How To Decrypt My Files.html. Il ouvre également une fenêtre contextuelle avec laquelle les victimes peuvent interagir pour envoyer la rançon et décrypter leurs données. Les contenus des deux sont identiques et informent les victimes de la même manière. NoCry donne environ 72 heures pour envoyer 100 $ en BTC à l'adresse cryptographique jointe. Si aucun argent n'est remis dans le délai imparti, NoCry supprimera vos fichiers pour toujours. Il s'agit d'une stratégie d'intimidation destinée à dépêcher les victimes et à payer plus rapidement la rançon demandée.

Rançon maintenant est un autre virus de cryptage de fichiers émis par des cybercriminels pour extorquer de l'argent à des victimes désespérées. C'est très similaire à ce qui a déjà été discuté Rançongiciel Polaris car il exécute le même schéma de cryptage avec les algorithmes AES et RSA. Une autre similitude partagée entre ces attaques de ransomware est qu'elles n'attachent aucune nouvelle extension aux données chiffrées. Bien que les fichiers ne subissent aucun changement visuel significatif, les utilisateurs ne pourront toujours pas les ouvrir. Le virus crée également un fichier texte appelé LISEZ-MOI POUR DÉVERROUILLER LES FICHIERS.txt qui comporte des instructions de décryptage. Les développeurs disent que les victimes ne peuvent restaurer les données qu'en achetant une clé spéciale. Le prix à payer est égal à 0.0044 BTC, soit environ 250 $ au moment de la rédaction de cet article. Gardez à l'esprit que les taux des crypto-monnaies changent toujours, il est donc possible que vous deviez payer plus ou moins demain. Après avoir envoyé le montant nécessaire de BTC, les utilisateurs doivent fournir la preuve de la transaction à l'adresse e-mail ci-jointe (ransomnow@yandex.ru). En plus de cela, les escrocs répertorient quelques ressources où acheter la crypto-monnaie requise, si vous êtes nouveau dans le monde de la crypto. Il est également fortement mis en garde contre l'exécution de manipulations avec des fichiers vous-même ou à l'aide d'outils tiers.

Découvert par MalwareHunterTeam, AnarchieGrabber est un type de virus conçu pour Discorde utilisateurs. Il est destiné à modifier le index.js fichier à l'intérieur du répertoire Discord (%AppData%\Discord\[version]\modules\discord_desktop_core\) et détourner vos données. En modifiant le code interne du fichier d'origine, il permet aux cybercriminels de télécharger des fichiers JavaScript malveillants. Ce fichier ne doit contenir qu'une seule ligne : module.exports = require('./core.asar');. Tout le reste vient d'un cheval de Troie. Pour vous débarrasser du malware, désinstallez Discord, puis recherchez le %AppData%\Roaming\discord (s'il existe, supprimez-le), puis réinstallez le client. Si cela ne vous aide pas, lisez le guide complet ci-dessous. Ainsi, lorsque les utilisateurs se connectent à leur compte Discord, les extorqueurs ont accès à vos contacts, compte, serveurs, messages et autres contenus basés sur Discord. Souvent, il est difficile de détecter AnarchyGrabber car il cache son activité derrière des fichiers Discord qui sont ignorés par les logiciels anti-malware. Si vous ne parvenez pas à le supprimer manuellement, nous vous aiderons à le faire ci-dessous.

Café décaféiné est classé comme un programme de ransomware conçu pour faire chanter les victimes afin qu'elles versent de l'argent pour la récupération des données bloquées. Ses premières attaques ont été enregistrées début novembre 2021 et continuent de se dérouler sur plusieurs utilisateurs. Le virus utilise sa propre extension appelée .café décaféiné qui est attribué lors du cryptage. Un exemple de la façon dont les fichiers cryptés aimeraient après cryptage est ce "1.pdf.decaf". Il est impossible de faire clignoter l'infection car tous les fichiers perdent également leur accessibilité et leurs icônes. Lors de l'installation réussie des chiffrements cryptographiques, Decaf crée une note de texte nommée README.txt qui contient des informations sur la façon de récupérer vos données. Les cybercriminels affirment que toutes les données du serveur et du PC ont été cryptées avec des algorithmes puissants empêchant tout décryptage par un tiers. Le seul moyen possible de restaurer l'accès à l'intégralité des données est d'utiliser un décrypteur "universel" spécial stocké par les extorqueurs. Pour obtenir des instructions supplémentaires concernant le décryptage, les victimes doivent écrire à l'adresse e-mail jointe (22eb687475f2c5ca30b@protonmail.com). À partir de là, seront probablement informés du prix du logiciel de décryptage et des moyens de l'obtenir. En règle générale, les cyber-escrocs demandent à leurs victimes d'envoyer des montants d'argent variables dans certaines crypto-monnaies à leurs portefeuilles. La plage peut varier de centaines à des milliers de dollars pour la restauration des données.

Polaris est un programme ransomware qui utilise une combinaison d'algorithmes AES et RSA pour crypter les données des utilisateurs. Contrairement à d'autres infections de ce type, Polaris n'ajoute aucune extension aux fichiers cryptés. La seule chose qui change est l'accessibilité aux fichiers - les victimes ne sont plus autorisées à ouvrir les données stockées. Afin de résoudre ce problème, les développeurs de Polaris encouragent leurs victimes à lire les instructions de récupération dans un fichier appelé AVERTISSEMENT.txt. La note de texte crée à la fin du cryptage et dit que vous devez contacter les extorqueurs en utilisant la communication par e-mail (pol.aris@openrash.com or pol.aris@tutanota.com). Il existe également une option pour ajouter des cybercriminels sur Discord à la place. Lors de la rédaction d'un message, les victimes doivent indiquer le nom de l'entreprise qui a été attaquée. C'est un indice que Polaris cible les réseaux commerciaux afin qu'ils puissent se permettre de payer la rançon requise. Le conseil le plus courant que vous pouvez voir sur le Web concernant les paiements de rançon est de les éviter autant. C'est vrai parce que de nombreux cybercriminels ont tendance à tromper leurs victimes et à n'envoyer finalement aucun outil de décryptage.