Virus

RansomHub Ransomware est un type de logiciel malveillant qui entre dans la catégorie des virus de cryptage de fichiers. Il est conçu pour infiltrer les systèmes informatiques, crypter des fichiers et exiger une rançon pour la clé de déchiffrement. Contrairement aux ransomwares traditionnels, qui cryptent les fichiers et exigent un paiement, RansomHouse, associé à RansomHub, se concentre sur la violation des réseaux via des vulnérabilités pour voler des données et contraindre les victimes à payer sans nécessairement utiliser le cryptage. Le ransomware RansomHub peut ajouter diverses extensions de fichiers aux fichiers cryptés, telles que .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky ou une extension de longueur 6-7 composée de caractères aléatoires. Les algorithmes de chiffrement spécifiques utilisés par RansomHub ne sont pas détaillés, mais les ransomwares utilisent généralement des méthodes de chiffrement fortes comme AES ou RSA pour empêcher tout décryptage non autorisé. RansomHub crée des notes de rançon avec des instructions pour les victimes sur la façon de payer la rançon et potentiellement de récupérer leurs fichiers. Les noms courants des fichiers de demande de rançon incluent README_{chaîne-random}.txt, et divers autres. L'emplacement de la demande de rançon se trouve généralement dans les répertoires de fichiers cryptés.

BlackLegion Ransomware est un type de logiciel malveillant conçu pour crypter les fichiers sur l'ordinateur d'une victime, les rendant inaccessibles, puis exiger une rançon pour la clé de déchiffrement. Une fois installé sur un ordinateur, BlackLegion crypte les fichiers et ajoute une extension unique aux noms de fichiers. Tous les fichiers cryptés avec BlackLegion Ransomware comporteront 8 caractères aléatoires suivis de l'e-mail de la victime et du .BlackLegion extension. Par exemple, un fichier nommé photo.jpg pourrait être renommé en photo.jpg.[random-numbers].[Blackdream01@zohomail.eu].BlackLegion après cryptage. BlackLegion crée une demande de rançon sous la forme d'un fichier texte, généralement nommé DécrypterNote.txt ou une variante de celui-ci. Cette note comprend des instructions sur la façon de payer la rançon, généralement en cryptomonnaie, et peut proposer de décrypter un seul fichier gratuitement comme preuve que les attaquants peuvent restaurer les fichiers de la victime.

WantToCry Ransomware est un type de virus de cryptage, qui est un sous-ensemble de logiciels malveillants qui crypte les fichiers sur l'ordinateur d'une victime et exige une rançon pour la clé de déchiffrement. Ce cryptor particulier cible les périphériques NAS. Le ransomware WantToCry ajoute le .want_to_cry extension aux fichiers qu’il crypte. Cela indique clairement quels fichiers ont été compromis et sont inaccessibles sans la clé de décryptage. Bien que la méthode de cryptage spécifique utilisée par WantToCry ne soit pas détaillée dans la source fournie, les ransomwares utilisent généralement des algorithmes de cryptage puissants comme AES (Advanced Encryption Standard) ou RSA (Rivest-Shamir-Adleman) pour verrouiller les fichiers, les rendant inaccessibles sans une clé de décryptage unique. . Il s'agit d'un virus cryptographique qui verrouille les fichiers et contraint les victimes à payer pour retrouver l'accès à leurs données. WantToCry crée une demande de rançon nommée !want_to_cry.txt qui reste sur l'ordinateur de la victime. Cette note informe la victime que ses données ont été cryptées et fournit des instructions sur la manière de payer la rançon, fixée à 300 $. Les victimes sont invitées à télécharger et installer qTOX, à créer un profil et à contacter les cybercriminels via le chat qTOX pour organiser le paiement.

Mallox Ransomware, également connu sous le nom de « TargetCompany » ou « Fargo », est un logiciel malveillant qui crypte les fichiers sur l'ordinateur d'une victime et exige une rançon pour la clé de déchiffrement. Il est actif depuis mi-2021 et fonctionne selon un modèle Ransomware-as-a-Service (RaaS), tirant parti des forums et des marchés clandestins pour recruter des affiliés et faire la publicité de ses services. Mallox crypte les fichiers à l'aide de l'algorithme de cryptage ChaCha20 et ajoute diverses extensions de fichiers aux fichiers cryptés, telles que .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx et autres. Il utilise également les noms des victimes comme extension dans certains cas. Le ransomware dépose une demande de rançon (HOW TO RESTORE FILES.txt) dans chaque répertoire du disque de la victime, expliquant l'infection et fournissant les coordonnées des attaquants. La note demande aux victimes d'envoyer leur identifiant personnel à l'adresse e-mail des attaquants pour recevoir les instructions de paiement pour l'outil de décryptage.

Press Ransomware est un type de malware qui entre dans la catégorie des crypto-ransomwares, conçus pour crypter les données sur les ordinateurs infectés, rendant les fichiers inaccessibles aux utilisateurs. Les attaquants exigent alors le paiement d’une rançon en échange de la clé de déchiffrement qui permettrait aux victimes de retrouver l’accès à leurs fichiers cryptés. Après avoir crypté les fichiers, Press Ransomware ajoute .press, .dwarf or .spfre extensions aux noms de fichiers, les rendant facilement identifiables. Par exemple, un fichier initialement nommé 1.jpg serait renommé en 1.jpg.press après cryptage. L'algorithme de cryptage spécifique utilisé par Press Ransomware n'est pas détaillé dans les résultats de recherche fournis, mais il est courant que ces logiciels malveillants utilisent des méthodes de cryptage robustes comme AES ou RSA pour empêcher un décryptage non autorisé. Une fois le processus de cryptage terminé, Press Ransomware dépose une demande de rançon nommée RECOVERY NFO.txt sur l'ordinateur de la victime. Cette note informe la victime que ses fichiers ont été cryptés et que des données sensibles ont été exfiltrées. Les attaquants menacent de vendre ou de divulguer le contenu volé en ligne si la rançon n'est pas payée. La note offre également à la victime la possibilité d'envoyer quelques fichiers cryptés aux attaquants pour un décryptage gratuit comme preuve qu'ils peuvent décrypter les fichiers.

DiskStation Security Ransomware est un type de malware ciblant spécifiquement les appareils Synology NAS (Network Attached Storage), qui sont souvent utilisés pour stocker de grandes quantités de données, notamment des sauvegardes et des fichiers personnels. L'objectif principal de ce ransomware, comme d'autres, est de crypter les fichiers du système infecté et d'exiger une rançon de la victime en échange de la clé de déchiffrement. Les extensions de fichiers ciblées par DiskStation Security Ransomware ne sont pas détaillées dans les résultats de recherche fournis. Cependant, les ransomwares ciblent généralement un large éventail de types de fichiers, en particulier ceux associés à des documents, images, vidéos et bases de données importants. La méthode de cryptage utilisée n'est pas non plus précisée, mais AES (Advanced Encryption Standard) est couramment utilisé par les ransomwares pour sa robustesse. Après le cryptage, le ransomware ajoute une extension aléatoire aux fichiers. Une fois le cryptage réussi des fichiers, le ransomware laisse généralement une demande de rançon (!!Read Me!!.txt) sur le bureau ou dans les répertoires concernés. Cette note contient des instructions destinées à la victime sur la manière de payer la rançon et inclut souvent des menaces de destruction ou d'exposition des données si les demandes ne sont pas satisfaites.

RCRU64 Ransomware est un type de malware qui crypte les fichiers sur l'ordinateur d'une victime et demande une rançon pour la clé de déchiffrement. Il se propage principalement via les pièces jointes des e-mails lors d'attaques de phishing, de téléchargements de logiciels malveillants et d'exploitation de vulnérabilités, notamment via des mots de passe faibles du protocole RDP (Remote Desktop Protocol). RCRU64 modifie les noms des fichiers cryptés en ajoutant l'identifiant de la victime, l'adresse e-mail et une extension spécifique. Les extensions connues associées à RCRU64 incluent .HM8 et d'autres variantes comme «.TGH», «.03rK», «.q6BH» et «.IalG». Le ransomware utilise des algorithmes de cryptage puissants pour verrouiller les fichiers sur l'ordinateur infecté. Bien que des détails spécifiques sur la méthode de cryptage ne soient pas fournis dans le Dans les résultats de recherche, les ransomwares utilisent généralement une combinaison de chiffrement symétrique (par exemple, AES) et asymétrique (par exemple, RSA) pour sécuriser les fichiers, ce qui rend le décryptage sans la clé presque impossible. RCRU64 crée des notes de rançon nommées Restore_Your_Files.txt ainsi que ReadMe.hta, qui informent les victimes que leurs fichiers ont été cryptés et fournissent des instructions de paiement. Les notes mettent en garde contre toute tentative de décryptage de fichiers de manière indépendante et proposent de décrypter quelques fichiers comme preuve avant d'effectuer le paiement.

Proton est une infection par ransomware. Le but de ce virus est d’exécuter le cryptage de données potentiellement critiques, puis d’exiger de l’argent pour leur décryptage complet. Ce faisant, Proton modifie également visuellement les fichiers - un fichier affecté avec acquisition kigatsu@tutanota.com adresse e-mail, identifiant de la victime et .Proton or .kigatsu extension aux fichiers cryptés. Par exemple, un fichier comme 1.pdf se transformera pour ressembler à quelque chose comme 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Suite à ce changement, les victimes ne pourront plus accéder à leur dossier, quelles que soient les modifications apportées. Après cela, le virus laisse tomber le README.txt note de texte, qui contient des instructions de décryptage. Les données des victimes auraient été cryptées (à l'aide des algorithmes AES et ECC) et volées par des cybercriminels. Le mot « volé » suggère probablement que les données cryptées ont été copiées sur les serveurs des cybercriminels et peuvent être utilisées à tout moment à moins que la rançon ne soit payée. Les acteurs malveillants encouragent leurs victimes à les contacter via Telegram ou par e-mail et à acheter le service de décryptage. De plus, les victimes sont également autorisées à envoyer un fichier (moins de 1 Mo) et à le décrypter gratuitement. De cette façon, les cybercriminels démontrent leur fiabilité ainsi que leur capacité à restituer l'accès aux données bloquées. À la fin du message de rançon, les extorsionnistes émettent quelques avertissements concernant les risques liés à une tentative de décryptage de fichiers sans l'aide des développeurs de ransomwares.