Virus

WantToCry Ransomware est un type de virus de cryptage, qui est un sous-ensemble de logiciels malveillants qui crypte les fichiers sur l'ordinateur d'une victime et exige une rançon pour la clé de déchiffrement. Ce cryptor particulier cible les périphériques NAS. Le ransomware WantToCry ajoute le .want_to_cry extension aux fichiers qu’il crypte. Cela indique clairement quels fichiers ont été compromis et sont inaccessibles sans la clé de décryptage. Bien que la méthode de cryptage spécifique utilisée par WantToCry ne soit pas détaillée dans la source fournie, les ransomwares utilisent généralement des algorithmes de cryptage puissants comme AES (Advanced Encryption Standard) ou RSA (Rivest-Shamir-Adleman) pour verrouiller les fichiers, les rendant inaccessibles sans une clé de décryptage unique. . Il s'agit d'un virus cryptographique qui verrouille les fichiers et contraint les victimes à payer pour retrouver l'accès à leurs données. WantToCry crée une demande de rançon nommée !want_to_cry.txt qui reste sur l'ordinateur de la victime. Cette note informe la victime que ses données ont été cryptées et fournit des instructions sur la manière de payer la rançon, fixée à 300 $. Les victimes sont invitées à télécharger et installer qTOX, à créer un profil et à contacter les cybercriminels via le chat qTOX pour organiser le paiement.

Mallox Ransomware, également connu sous le nom de « TargetCompany » ou « Fargo », est un logiciel malveillant qui crypte les fichiers sur l'ordinateur d'une victime et exige une rançon pour la clé de déchiffrement. Il est actif depuis mi-2021 et fonctionne selon un modèle Ransomware-as-a-Service (RaaS), tirant parti des forums et des marchés clandestins pour recruter des affiliés et faire la publicité de ses services. Mallox crypte les fichiers à l'aide de l'algorithme de cryptage ChaCha20 et ajoute diverses extensions de fichiers aux fichiers cryptés, telles que .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx et autres. Il utilise également les noms des victimes comme extension dans certains cas. Le ransomware dépose une demande de rançon (HOW TO RESTORE FILES.txt) dans chaque répertoire du disque de la victime, expliquant l'infection et fournissant les coordonnées des attaquants. La note demande aux victimes d'envoyer leur identifiant personnel à l'adresse e-mail des attaquants pour recevoir les instructions de paiement pour l'outil de décryptage.

Press Ransomware est un type de malware qui entre dans la catégorie des crypto-ransomwares, conçus pour crypter les données sur les ordinateurs infectés, rendant les fichiers inaccessibles aux utilisateurs. Les attaquants exigent alors le paiement d’une rançon en échange de la clé de déchiffrement qui permettrait aux victimes de retrouver l’accès à leurs fichiers cryptés. Après avoir crypté les fichiers, Press Ransomware ajoute .press, .dwarf or .spfre extensions aux noms de fichiers, les rendant facilement identifiables. Par exemple, un fichier initialement nommé 1.jpg serait renommé en 1.jpg.press après cryptage. L'algorithme de cryptage spécifique utilisé par Press Ransomware n'est pas détaillé dans les résultats de recherche fournis, mais il est courant que ces logiciels malveillants utilisent des méthodes de cryptage robustes comme AES ou RSA pour empêcher un décryptage non autorisé. Une fois le processus de cryptage terminé, Press Ransomware dépose une demande de rançon nommée RECOVERY NFO.txt sur l'ordinateur de la victime. Cette note informe la victime que ses fichiers ont été cryptés et que des données sensibles ont été exfiltrées. Les attaquants menacent de vendre ou de divulguer le contenu volé en ligne si la rançon n'est pas payée. La note offre également à la victime la possibilité d'envoyer quelques fichiers cryptés aux attaquants pour un décryptage gratuit comme preuve qu'ils peuvent décrypter les fichiers.

DiskStation Security Ransomware est un type de malware ciblant spécifiquement les appareils Synology NAS (Network Attached Storage), qui sont souvent utilisés pour stocker de grandes quantités de données, notamment des sauvegardes et des fichiers personnels. L'objectif principal de ce ransomware, comme d'autres, est de crypter les fichiers du système infecté et d'exiger une rançon de la victime en échange de la clé de déchiffrement. Les extensions de fichiers ciblées par DiskStation Security Ransomware ne sont pas détaillées dans les résultats de recherche fournis. Cependant, les ransomwares ciblent généralement un large éventail de types de fichiers, en particulier ceux associés à des documents, images, vidéos et bases de données importants. La méthode de cryptage utilisée n'est pas non plus précisée, mais AES (Advanced Encryption Standard) est couramment utilisé par les ransomwares pour sa robustesse. Après le cryptage, le ransomware ajoute une extension aléatoire aux fichiers. Une fois le cryptage réussi des fichiers, le ransomware laisse généralement une demande de rançon (!!Read Me!!.txt) sur le bureau ou dans les répertoires concernés. Cette note contient des instructions destinées à la victime sur la manière de payer la rançon et inclut souvent des menaces de destruction ou d'exposition des données si les demandes ne sont pas satisfaites.

RCRU64 Ransomware est un type de malware qui crypte les fichiers sur l'ordinateur d'une victime et demande une rançon pour la clé de déchiffrement. Il se propage principalement via les pièces jointes des e-mails lors d'attaques de phishing, de téléchargements de logiciels malveillants et d'exploitation de vulnérabilités, notamment via des mots de passe faibles du protocole RDP (Remote Desktop Protocol). RCRU64 modifie les noms des fichiers cryptés en ajoutant l'identifiant de la victime, l'adresse e-mail et une extension spécifique. Les extensions connues associées à RCRU64 incluent .HM8 et d'autres variantes comme «.TGH», «.03rK», «.q6BH» et «.IalG». Le ransomware utilise des algorithmes de cryptage puissants pour verrouiller les fichiers sur l'ordinateur infecté. Bien que des détails spécifiques sur la méthode de cryptage ne soient pas fournis dans le Dans les résultats de recherche, les ransomwares utilisent généralement une combinaison de chiffrement symétrique (par exemple, AES) et asymétrique (par exemple, RSA) pour sécuriser les fichiers, ce qui rend le décryptage sans la clé presque impossible. RCRU64 crée des notes de rançon nommées Restore_Your_Files.txt ainsi que le ReadMe.hta, qui informent les victimes que leurs fichiers ont été cryptés et fournissent des instructions de paiement. Les notes mettent en garde contre toute tentative de décryptage de fichiers de manière indépendante et proposent de décrypter quelques fichiers comme preuve avant d'effectuer le paiement.

Proton est une infection par ransomware. Le but de ce virus est d’exécuter le cryptage de données potentiellement critiques, puis d’exiger de l’argent pour leur décryptage complet. Ce faisant, Proton modifie également visuellement les fichiers - un fichier affecté avec acquisition kigatsu@tutanota.com adresse e-mail, identifiant de la victime et .Proton or .kigatsu extension aux fichiers cryptés. Par exemple, un fichier comme 1.pdf se transformera pour ressembler à quelque chose comme 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Suite à ce changement, les victimes ne pourront plus accéder à leur dossier, quelles que soient les modifications apportées. Après cela, le virus laisse tomber le README.txt note de texte, qui contient des instructions de décryptage. Les données des victimes auraient été cryptées (à l'aide des algorithmes AES et ECC) et volées par des cybercriminels. Le mot « volé » suggère probablement que les données cryptées ont été copiées sur les serveurs des cybercriminels et peuvent être utilisées à tout moment à moins que la rançon ne soit payée. Les acteurs malveillants encouragent leurs victimes à les contacter via Telegram ou par e-mail et à acheter le service de décryptage. De plus, les victimes sont également autorisées à envoyer un fichier (moins de 1 Mo) et à le décrypter gratuitement. De cette façon, les cybercriminels démontrent leur fiabilité ainsi que leur capacité à restituer l'accès aux données bloquées. À la fin du message de rançon, les extorsionnistes émettent quelques avertissements concernant les risques liés à une tentative de décryptage de fichiers sans l'aide des développeurs de ransomwares.

Reload Ransomware est une forme de malware qui cible les individus et les organisations en chiffrant leurs fichiers et en exigeant une rançon pour les clés de décryptage. Cela fait partie de Makop Ransomware famille. La demande de rançon commence généralement par une déclaration selon laquelle tous les fichiers ont été cryptés et ont désormais le .reload extension qui leur est annexée. Le ransomware utilise des algorithmes de cryptage robustes pour verrouiller les fichiers, les rendant inaccessibles sans la clé de décryptage correspondante. Le type spécifique de cryptage utilisé par Reload Ransomware n'est pas explicitement mentionné dans les sources fournies, mais le ransomware utilise généralement le cryptage AES (Advanced Encryption Standard) ou RSA, qui sont à la fois hautement sécurisés et difficiles à déchiffrer sans la clé de déchiffrement unique. La demande de rançon créée par Reload Ransomware est généralement un fichier texte (+README-WARNING+.txt) qui est déposé dans des dossiers contenant des fichiers cryptés. Cette note indique clairement que les fichiers ont été cryptés et fournit des instructions sur la façon de payer la rançon pour récupérer les fichiers. La note peut inclure des détails tels que le montant de la rançon demandée, généralement en cryptomonnaie comme Bitcoin, pour garantir l'anonymat de la transaction.

Win32/FakeSysDef, aussi connu sous le nom Trojan:Win32/FakeSysdef, est un type de malware classé comme cheval de Troie. Il a été documenté pour la première fois fin 2010 et cible le système d'exploitation Microsoft Windows. Ce logiciel malveillant se fait passer pour un outil de défragmentation système légitime, prétendant analyser les pannes matérielles liées à la mémoire système, aux disques durs et aux performances globales du système. Cependant, son véritable objectif est de tromper les utilisateurs en leur faisant croire que leur système est truffé d’erreurs et de problèmes matériels. Le cheval de Troie apporte des modifications importantes au système, qui peuvent inclure la modification des paramètres d'Internet Explorer, le changement du fond d'écran du bureau, le masquage des liens du bureau et du menu Démarrer, la désactivation du Gestionnaire des tâches de Windows et la définition de types de fichiers à faible risque. Lors de l'installation, il peut mettre fin aux processus en cours et forcer un redémarrage, puis tenter de bloquer chaque programme lancé, affichant de faux messages d'erreur et invitant l'utilisateur à acheter le faux logiciel pour résoudre les problèmes. Les symptômes d’une infection Win32/FakeSysDef sont assez visibles. Les utilisateurs verront de nombreuses fausses alertes indiquant des erreurs système et l’apparition d’une analyse du système. Le malware invite l'utilisateur à acheter et à activer un « module avancé » inexistant pour corriger les erreurs découvertes. Si l'utilisateur accepte d'acheter, il est invité à fournir les informations de sa carte de crédit, soit via un formulaire intégré à la candidature, soit en étant redirigé vers un site Web.