Virus

Découvert par un chercheur de logiciels malveillants nommé Glace_, Casier Babuk (aka Casier Vasa, Casier Babyk, Casier Babuk) est un virus de type ransomware qui cible les organisations commerciales, y compris les entreprises dont le chiffre d'affaires est égal à 4.000.000 $. Tout cela parce qu'il exige une rançon de 60000-85000$ en BTC à payer en échange des données cryptées. Pour s'assurer que leurs victimes ne peuvent pas les déchiffrer de manière indépendante, les cybercriminels utilisent une combinaison d'algorithmes SHA252, ChaCha8 et ECDH pour exécuter un chiffrement sécurisé. Les développeurs de Babuk Locker mènent de vastes campagnes de distribution pour couvrir autant de victimes que possible. C'est pourquoi les utilisateurs sont également susceptibles de voir d'autres versions dérivées de Babuk Locker (par exemple Babyk, Vasa, etc.). Selon la version qui a attaqué le réseau compromis, les victimes verront différentes extensions appliquées aux fichiers cryptés. Normalement, c'est .__NIST_K571__; .babykou .babuk affecté à chaque élément de données. Par exemple, un fichier comme 1.pdf stocké sur un appareil affecté par un logiciel malveillant, changera son apparence pour 1.pdf.__NIST_K571__, 1.pdf.babykou 1.pdf.babuk à la fin du cryptage. Ensuite, dès que cette étape d'infection est terminée, le virus crée une note de texte appelée "Comment restaurer vos fichiers.txt" dans chaque dossier contenant des données cryptées.

Néflim est une infection ransomware qui crypte les données stockées sur les appareils compromis. Ce faisant, les cybercriminels ont une bonne occasion de faire chanter les utilisateurs pour qu'ils paient la soi-disant rançon. Il existe actuellement deux formes du virus Neflim connues. Ajoute d'abord le .neflim extension, tandis qu'un autre utilise .f1 pour renommer les données cryptées. Certains experts ont tendance à classer ces versions comme des infections de ransomware distinctes, mais elles font toutes deux partie de la famille commune. Pour illustrer comment les fichiers cryptés sont modifiés, examinons l'original 1.pdf pièce de données. A la fin du cryptage, il changera soit en 1.pdf.neflim or 1.pdf.f1 selon les versions qui ont capturé vos données. Le même schéma de cryptage sera appliqué au reste des fichiers stockés sur votre appareil. Dès que toutes les données apparaissent sous le verrou des escrocs, les victimes doivent lire les instructions sur la récupération des données à l'intérieur du NEFLIM-DECRYPT.txt or f1-HELP.txt Remarques.

Ruche est un programme malveillant classé comme ransomware. Son objectif principal consiste à exécuter le cryptage des fichiers pour faire chanter les utilisateurs pour qu'ils paient la rançon. Cette rançon est un certain montant requis en échange des données bloquées. Les utilisateurs peuvent repérer que leurs fichiers ont été cryptés par le changement de leurs noms. Plus précisément, les victimes voient une chaîne de caractères aléatoire ainsi que le .ruche extension attribuée à chaque donnée. Une telle modification rend les fichiers cryptés, ce qui en refuse l'accès. Pour récupérer l'accès perdu aux données, les utilisateurs sont invités à suivre les détails indiqués à l'intérieur d'une note de texte appelée HOW_TO_DECRYPT.txt. Les cybercriminels informent les victimes concernées que leur réseau a été piraté, ce qui a conduit à un cryptage immédiat des données. Pour décrypter les fichiers compromis, les victimes doivent contacter les extorqueurs via le lien joint à la note et acheter le logiciel de décryptage. La dernière chose écrite par les cybercriminels est de savoir comment éviter des dommages irréversibles aux données. Ils disent qu'il est interdit d'effectuer des manipulations avec vos données, par exemple, ne fermez pas votre PC intentionnellement, modifiez ou changez les noms de fichiers, utilisez des logiciels tiers et bien d'autres tentatives pour effacer le cryptage.

Poliex est un virus de type ransomware découvert par un chasseur de logiciels malveillants de Corée du Sud connu sous le nom de dnwls0719. De même que d'autres infections de ce type, Poliex crypte les données personnelles pour faire chanter les utilisateurs pour qu'ils paient la rançon. En plus du cryptage des fichiers par des algorithmes de niveau militaire, le virus ajoute également le .poliex extension à chacune des pièces compromises. Pour illustrer, un fichier nommé 1.pdf connaîtra un changement pour 1.pdf.poliex et laisse tomber son icône d'origine à la fin du cryptage. Une fois ces changements appliqués avec succès, les utilisateurs perdront l'accès à leurs données. Les instructions sur la façon de le retourner sont indiquées à l'intérieur du README.txt note, qui est créé une fois le cryptage terminé. Il n'y a pas trop d'écrits par les développeurs, pourtant c'est suffisant pour comprendre ce que les victimes doivent faire. Comme le disent les cybercriminels, le prix du décryptage est de 500$. Juste après ce message, les extorqueurs joignent leur adresse de télégramme. Pour s'impliquer dans d'autres conversations avec des escrocs, les utilisateurs doivent contacter les fraudeurs à l'aide de l'application Telegram. Après avoir pris contact avec elles, les victimes obtiendront donc les informations de paiement nécessaires pour transférer la somme d'argent requise. Malheureusement, il existe peu de données sur la façon dont les cybercriminels se comportent lors des discussions privées. Ils peuvent proposer de tester le décryptage gratuit de certains fichiers pour élever la confiance des victimes qui hésitent sur leur fiabilité.

0xxx est une infection ransomware qui crypte diverses données à l'aide d'algorithmes AES+RSA sur les appareils NAS (Western Digital My Book). Cette mesure est prise pour forcer les victimes à payer la soi-disant rançon en échange des données bloquées. Tout comme les autres logiciels malveillants de ce type, 0xxx utilise sa propre extension (.0xxx) pour renommer les données. Par exemple, un élément de fichier intitulé 1.pdf va changer de look pour 1.pdf.0xxx après cryptage. Tous ces changements indiquent que vos données ne sont plus accessibles. En d'autres termes, il n'y a plus moyen de l'ouvrir. Afin de le réparer, les victimes sont appelées à suivre les instructions de rançon à l'intérieur du !0XXX_DECRYPTION_README.TXT note de texte. Cette note est déposée dans chaque dossier contenant des fichiers cryptés. On dit que les victimes peuvent décrypter leurs données en payant une rançon de 300 USD en Bitcoin. Dans un premier temps, les utilisateurs sont invités à contacter les cybercriminels par e-mail. Il est nécessaire d'inclure votre identifiant unique avec 3 fichiers pour tester le décryptage gratuit. Dès que le contact avec les cybercriminels est établi, les victimes obtiendront les détails de paiement pour effectuer un transfert d'argent. Bien que les extorqueurs prétendent qu'ils n'ont aucune intention de vous tromper, il y a eu plusieurs cas où les utilisateurs n'ont pas reçu les outils de décryptage même après le paiement.

Avant de procéder à l'enlèvement, il vaut la peine de savoir ce que Redeemer Ransomware est en fait. Il est classé comme un virus de cryptage de fichiers qui bloque l'accès aux données stockées sur un système compromis. Afin de montrer s'il est crypté ou non, les développeurs Redeemer ajoutent le .redeem extension à chacun des fichiers. Par exemple, un fichier comme 1.pdf va changer de look pour 1.pdf.redeem et réinitialiser son icône d'origine. Le système ne pourra plus ouvrir les fichiers tant qu'ils sont cryptés. Pour reprendre le contrôle de vos données, il est nécessaire d'acheter un logiciel de décryptage spécial ainsi qu'une clé unique. Des informations plus détaillées à ce sujet peuvent être trouvées à l'intérieur du Read Me.TXT note, qui est créé une fois le cryptage terminé. Juste en dessous du logo Redeemer tiré de chiffres, les cybercriminels demandent aux utilisateurs de payer 20 XMR (Monero) crypto-monnaie, soit environ 4000$ pour le décryptage des données. Une fois que vous serez prêt à le faire, la prochaine étape consiste à contacter les extorqueurs en joignant votre clé d'identification personnelle via leur adresse e-mail (test@test.test). Ceci est nécessaire pour obtenir l'adresse de paiement pour effectuer un virement. Dès qu'ils reçoivent votre rançon de décryptage, vous devriez recevoir les outils promis pour récupérer vos données.

Poteston est classé comme une infection ransomware qui exécute le cryptage des bases de données, des photos, des documents et d'autres données précieuses. L'ensemble du processus de cryptage peut être facilement repéré par les utilisateurs qui consultent les nouvelles extensions attribuées aux fichiers. Ce virus implique le .poteston extension pour renommer les données stockées. Pour illustrer, un fichier nommé 1.pdf va changer de look pour 1.pdf.poteston à la suite du cryptage. Dès que ces changements seront constatés, les victimes ne pourront plus accéder aux données. Dès que ces changements seront constatés, les victimes ne pourront plus accéder aux données. Pour le restaurer, les utilisateurs reçoivent des instructions à l'intérieur du readme.txt Remarque. Dans la note, les victimes sont accueillies avec de mauvaises nouvelles - toutes les données que nous avons mentionnées ci-dessus ont été cryptées. Pour le récupérer, les victimes sont invitées à contacter les cybercriminels en utilisant leur adresse e-mail (recovery_Potes@firemail.de). Après avoir établi le contact avec eux, vous recevrez soi-disant les détails nécessaires pour effectuer un transfert d'argent. Avant de le faire, il vous est également proposé d'envoyer l'un des fichiers bloqués pour un décryptage gratuit. C'est une astuce utilisée par de nombreux extorqueurs pour élever la confiance des victimes. En plus de cela, les développeurs Poteston déconseillent également de renommer les données cryptées car vous pourriez potentiellement endommager sa configuration.

MANSORY est une infection ransomware qui exécute un cryptage vigoureux sur les données personnelles et professionnelles. Ce processus implique des algorithmes cryptographiques ainsi que l'ajout de nouvelles extensions. MANSORY utilise le .MANSOIRE extension à chaque élément de fichier qui a été restreint. Par exemple, un fichier comme 1.pdf sera changé en 1.pdf.mansory. Après avoir subi de tels changements, les fichiers bloqués ne seront plus accessibles. Pour y avoir accès, les victimes doivent payer une certaine rançon en argent. Plus d'informations à ce sujet sont présentées dans une note de texte appelée MANSORY-MESSAGE.txt, qui est créé une fois le cryptage terminé. La première chose que disent les cybercriminels est que des gigaoctets de données précieuses ont été téléchargés vers un emplacement sécurisé. Les extorqueurs l'utilisent comme garantie pour intimider les utilisateurs avec la publication de données au cas où ils refuseraient de payer de l'argent. Les victimes ont le droit de savoir combien de données ont été téléchargées après avoir contacté les cybercriminels par e-mail (selawilsen2021@tutanota.com ; dennisdqalih35@tutanota.com ; josephpehrhart@protonmail.com). Par conséquent, ils peuvent analyser la valeur des données qui ont fui entre les mains des extorqueurs. Comme nous l'avons déjà mentionné, ne pas contacter les cybercriminels entraînera la publication progressive de données détournées de votre réseau. Pour l'éviter, les victimes doivent acheter le logiciel de décryptage stocké par les cybercriminels eux-mêmes. Cela vous permettra également de déverrouiller toutes les données bloquées. En plus de cela, les développeurs de MANSORY Ransomware proposent d'essayer le déchiffrement gratuit en envoyant 2 fichiers aléatoires d'autres ordinateurs à leur e-mail.