Virus

Découvert par un chercheur de logiciels malveillants nommé S!Ri, Artemis appartient à la famille des ransomwares PewPew. Les fraudes derrière cette famille ont propagé un certain nombre d'infections à haut risque qui exécutent le cryptage des données. Artemis est la variante la plus récente du chiffrement de fichiers qui coupe l'accès à la plupart des données stockées à l'aide d'algorithmes cryptographiques multicouches. Ces algorithmes rendent les données entièrement cryptées, ce qui empêche les utilisateurs de les ouvrir. En plus de cela, les fichiers cryptés verrouillés par Artemis sont également modifiés de manière visuelle. Par exemple, un fichier comme 1.pdf va changer pour quelque chose comme 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis et réinitialiser son icône d'origine. Cette chaîne se compose de l'ID des victimes, khalate@tutanota.com adresse e-mail, et .artémis prolongation à la fin. Ensuite, dès que le chiffrement est terminé, Artemis invite le info-decrypt.hta pour apparaître sur tout l'écran. Les versions récentes de l'utilisation de logiciels malveillants Lisez-moi-[victim's_ID].txt nom et utilisation de la demande de rançon .ultime ainsi que .999 rallonges (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate et 1.pdf.id[victim's_ID].[restorediscus@gmail.com].999).

Bonjour est un programme malveillant classé comme ransomware. Son objectif principal est de gagner de l'argent sur les victimes dont les données ont été cryptées avec des chiffrements puissants. Habituellement, les victimes finissent par être au courant de l'infection après que GoodMorning attribue une nouvelle extension complexe aux fichiers compromis (se terminant par .Bonjour, .FERMÉ À CLÉ or .RÉEL). Par exemple, 1.pdf et d'autres fichiers stockés sur un système seront modifiés selon ce modèle 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. L'ID à l'intérieur des extensions différera individuellement car il est unique à chacune des victimes. Ensuite, une fois que tous les fichiers sont cryptés et visuellement modifiés, le virus crée des notes de texte appelées soit Bonjour.txt, Lisez-le.txt or ReadMe.txt. Il est destiné à expliquer des instructions plus larges sur la façon de récupérer vos données.

payer est un programme ransomware qui infecte les systèmes Windows pour crypter les données personnelles. Il affecte la configuration des fichiers stockés les rendant totalement inaccessibles. Cela signifie que toute tentative d'ouverture des fichiers sera refusée en raison du cryptage. Outre les changements de configuration, Pagar Ransomware modifie également les données par des moyens visuels - en attribuant le .pagar40br@gmail.com extension à chaque fichier sous cryptage. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf.pagar40br@gmail.com et réinitialiser son icône d'origine à vide. Une fois tous les fichiers cryptés, Pagar crée une demande de rançon appelée Avis urgent.txt, qui explique comment récupérer les données. Les développeurs de ransomwares sont concis et disent que vous avez 72 heures pour envoyer 0.035 BTC au portefeuille attaché. Juste après avoir effectué le paiement, les victimes doivent contacter les développeurs via pagar40br@gmail.com en joignant leur propre adresse de portefeuille et leur identifiant unique (écrit dans la note). Malheureusement, il n'y a aucune information sur la fiabilité des développeurs de Pagar.

Chaos est une famille de ransomware populaire qui diffuse un certain nombre de versions de logiciels malveillants. Lors de son infection, la plupart des fichiers stockés sur un système sont réajustés et ne sont plus accessibles. Cela est fait par les cybercriminels pour extorquer la soi-disant rançon aux victimes en échange du déblocage des données. À l'heure actuelle, il existe 4 versions les plus populaires propagées par Chaos - Axiom, Teddy, Encrypted et AstraLocker Ransomware. Tous les 4 attribuent leur propre extension tout en bloquant l'accès aux données. Par exemple, un fichier comme 1.pdf peut changer en 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encryptedou 1.pdf.astralocker selon la version qui a attaqué votre réseau. Initialement, Chaos s'appelait Ryuk .Net Ransomware, mais a ensuite été mis à niveau et a commencé à proliférer sous le nouveau nom. De plus, Ryuk.Net n'a imité que le cryptage avec des algorithmes AES + RSA, mais a en fait utilisé le codage Base64 pour endommager la structure des fichiers. Non exclu, la même chose peut également être rencontrée dans les versions plus récentes. Il est également possible de voir une version de Chaos ajouter une chaîne de caractères aléatoires aux fichiers cryptés - comme 1.pdf.us00, 1.pdf.wf1d, et ainsi de suite. Dès que le cryptage (ou le faux cryptage) se termine, le virus crée une note de texte avec des instructions sur la façon de récupérer vos données. Voici les noms ainsi que le contenu de chaque note textuelle créée par différentes versions (README.txt, read_it.txt, READ_ME_NOW.txt.

Tohnichi signifie un programme de ransomware qui modifie les extensions de fichiers, les rendant tous cryptés. .tohnichi est le nom de la nouvelle extension attribuée à chaque pièce compromise. Cela signifie que tous les fichiers cryptés apparaîtront comme ceci 1.pdf.tohnichi à la fin du processus. La dernière pièce du puzzle apporté par Tohnichi est Comment décrypter les fichiers.txt, le fichier texte créé par un malware pour expliquer les instructions de décryptage. Tout d'abord, il est indiqué que votre réseau a été piraté, ce qui a permis à des extorqueurs de crypter vos données. Ensuite, les cybercriminels se disent les seuls à pouvoir effectuer un décryptage sécurisé et complet des données. Pour cela, les victimes sont invitées à établir une communication à l'aide du lien du navigateur Tor et à payer pour un logiciel de décryptage. Le prix est gardé secret et dépend de la rapidité avec laquelle vous contactez les développeurs. Après avoir effectué le paiement, les développeurs promettent d'envoyer un outil de décryptage unique pour récupérer les données. En plus de cela, les développeurs de rançongiciels disent qu'ils peuvent déchiffrer plusieurs fichiers (qui ne contiennent pas d'informations précieuses) avant de payer la rançon gratuitement. C'est une bonne offre certes, mais encore insuffisante pour faire confiance aux cybercriminels à titre individuel.

Zeppelin a été découvert par GrujaRS, qui est un élément malveillant qui infecte les ordinateurs et crypte les données de l'utilisateur. Les programmes de ce type sont généralement conçus pour gagner de l'argent sur des utilisateurs désespérés qui ont verrouillé leurs fichiers. Comme d'habitude, avec le cryptage, il y a un changement significatif dans l'extension du fichier - il les renomme en utilisant le système numérique hexadécimal en quelque chose comme ça 1.mp4.126-A9A-0E9. En fait, l'extension peut varier selon les symboles car le virus peut générer des valeurs aléatoires. Une fois le cryptage terminé, Zepellin crée un fichier texte appelé !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT sur votre bureau. Dans cette note, les extorqueurs vous offensent avec des abus de rançon en vous appelant à les contacter et à acheter une clé spécifique. Malheureusement, il n'existe aucune méthode éprouvée qui pourrait déchiffrer vos données gratuitement à ce stade. La seule façon de le faire est de suivre leurs instructions, ce qui représente un risque énorme. Bien que la décision repose sur vos épaules, nous vous recommandons de supprimer Zeppelin Ransomware dans le guide ci-dessous.

MOSN est classé comme une infection par ransomware qui demande de l'argent aux victimes après avoir crypté les données. Normalement, de telles infections frappent tous les fichiers potentiellement importants comme les photos, les vidéos, les documents, les bases de données, etc., qui ont une certaine valeur pour les victimes. Le cryptage peut être repéré par de nouvelles extensions qui sont attribuées à chaque pièce compromise. Par exemple, un fichier nommé 1.pdf va changer pour 1.pdf.MOSN à la fin du cryptage. On verra la même chose avec d'autres données selon ce modèle. Puis, peu de temps après, MOSN installe de nouveaux fonds d'écran étendus sur tout l'écran qui affiche un bref résumé de la rançon. Il indique que les victimes doivent contacter les développeurs via walter1964@mail2tor.com adresse e-mail et payez 300$ en Bitcoin pour le rachat de données. De plus, MOSN Ransomware crée un fichier texte appelé INFORMATION_LIRE_MOI.txt cela explique la même chose mais mentionne également le nombre de fichiers cryptés et l'identifiant unique qui doivent être joints lors du contact avec les extorqueurs.

Divinité, Matafaka et Army sont trois infections de ransomware publiées par le groupe de développement connu sous le nom de Xorist. Une fois que votre système est infecté avec succès, un virus force la plupart des fichiers stockés à changer de nom. Selon la version qui a attaqué votre PC, toute image, vidéo, musique ou fichier de document comme 1.pdf va changer pour 1.pdf.divinity, 1.pdf.matafakaou 1.pdf.army. Une fois que chaque fichier a été modifié visuellement, les versions mentionnées ci-dessus affichent un message texte dans des fenêtres contextuelles ou des fichiers de bloc-notes (HOW TO DECRYPT FILES.txt). Le texte diffère pour chaque version. Pour illustrer, Matafaka et Army ne montrent pratiquement aucune information sur le décryptage des données. Ils mentionnent que votre PC est piraté, mais ne fournissent aucune information ou instruction de paiement pour restaurer les données. La raison en est peut-être que ces versions sont encore en cours de développement et de test. Il n'est pas exclu qu'il existe des versions complètes avec des instructions à part entière qui circulent déjà sur le Web. Divinity est la seule version de la liste ayant les coordonnées pour payer la rançon. Pour cela, les utilisateurs sont invités à écrire un message direct à @lulzed Telegram ou @dissimilate sur Twitter. Notez que la famille Xorist Ransomware utilise les algorithmes XOR et TEA pour crypter les données personnelles. Les données chiffrées par de tels chiffrements sont moins susceptibles d'être déchiffrables sans l'intervention de cybercriminels. Malgré cela, il est expressément déconseillé de répondre aux demandes de chiffres frauduleux.