Virus

Dharma est une famille de ransomwares considérée comme le plus grand développeur d'infections de ransomwares. De nombreuses versions ont été trouvées attaquant les utilisateurs avec un cryptage des données et des messages de demande de rançon. Cependant, l'une des versions récentes détectées comme étant active est connue sous le nom de YoAD Ransomware. Comme les virus similaires de ce type, il attribue le nouveau .yoAD extension avec identifiant aléatoire et e-mail des cybercriminels à chaque élément de données stocké sur un PC compromis. Par exemple, le fichier d'origine comme 1.mp4 aura un aperçu de 1.mp4.id-C279F237.[yourfiles1@cock.li].yoAD, ou de manière similaire. De telles modifications font que vos fichiers ne sont plus accessibles car toute tentative de les initier sera refusée. Ensuite, une fois ce processus terminé, le virus intervient avec la création d'instructions textuelles. Ils sont présentés dans le FILES ENCRYPTED.txt document directement sur votre bureau. Comme le prétendent les extorqueurs, la seule façon de restaurer vos données est de les contacter par e-mail. Ensuite, ils vous donneront soi-disant un crypto-portefeuille pour envoyer de l'argent en Bitcoin. Après cela, vous recevrez les outils nécessaires pour restaurer vos données. Malheureusement, cette méthode ne convient pas à tout le monde car les sommes demandées par les cybercriminels peuvent être astronomiquement élevées et pas faciles à payer.

Crypto-Locker Mijnal est une infection de type ransomware qui encode les données personnelles avec des algorithmes AES + RSA. L'application de tels moyens signifie que le chiffrement attribué est difficile à casser en utilisant les méthodes traditionnelles. En d'autres termes, il garantit que le décryptage manuel n'a pas lieu après le verrouillage des données. Malheureusement, dans la plupart des cas, cela semble vraiment impossible, mais vous devriez l'essayer après avoir lu ce texte. Comme les autres infections, Mijnal crypte vos données en changeant une extension de fichier en .mijnal. Par exemple, un échantillon tel que "1.mp4" sera modifié en "1.mp4.mijnal" et réinitialisera son icône d'origine. Une fois le processus de chiffrement terminé, le virus crée une note textuelle appelée "README_LOCK.txt" contenant les instructions de remboursement. Les informations présentées à l'intérieur sont rédigées en russe, ce qui signifie que les développeurs se concentrent principalement sur les régions de la CEI. Cependant, certains utilisateurs anglais peuvent également en être affectés. Si vous êtes prêt à déchiffrer vos données le plus tôt possible, les cybercriminels demandent aux victimes d'ouvrir le lien ci-joint via le navigateur Tor et de suivre les instructions à cet endroit. Ensuite, les extorqueurs vous demanderont plus probablement de payer un certain montant en Bitcoin pour avoir accès à vos données. Bien que le paiement de la rançon soit généralement la seule méthode pour surmonter le cryptage des données, nous vous déconseillons de répondre à toutes les demandes car cela peut également être dangereux pour votre poche et votre vie privée.

E-mail de livraison DPD est un message d'arnaque livré aux utilisateurs par e-mail. Tout en essayant de se cacher derrière DPD (un service de livraison légitime), les cybercriminels visent à propager un cheval de Troie connu sous le nom de DanaBot. Pour inciter les utilisateurs à interrompre le processus d'infection, ils disent que votre colis est en route et sera bientôt livré. Pour suivre l'état et l'emplacement d'un colis, vous devez cliquer sur "Exécuter le suivi des colis", ce qui vous fera passer sur la page de téléchargement. Sur cette page, il y aura une archive contenant un fichier JavaScript malveillant (avec l'extension .js). S'il est téléchargé, le cheval de Troie se répandra dans votre système et recueillera des informations bancaires telles que les mots de passe saisis lors de la session de navigation. Ensuite, les informations collectées peuvent être vendues ou utilisées seules pour pirater les comptes enregistrés. En outre, le message de spam propose d'installer une application DPDgroup. Pour ce faire, vous êtes guidé pour cliquer sur «En savoir plus», qui mène à la même page avec l'infection. En plus de cela, vous devez savoir que les fausses campagnes de courrier électronique peuvent également être à l'origine d'infections par ransomware. Ils font exactement la même astuce en poussant les utilisateurs à télécharger des fichiers malveillants (documents MS Office, PDF ou exécutables).

Leitkcad est un pur exemple de crypto-malware qui exécute le cryptage des données personnelles pour obtenir une soi-disant rançon. Les symptômes les plus vifs faisant allusion à la présence du Leitkcad sont l'attribution de .leitkcad extension. En d'autres termes, il sera vu à la fin de chaque fichier affecté par un malware. Par exemple, un fichier comme 1.mp4 sera changé en 1.mp4.leitkcad et réinitialisez son icône d'origine. Ensuite, une fois que tous les fichiers sont modifiés, le virus passe à la phase suivante en créant une note appelée help-leitkcad.txt. Il contient des informations sur le cryptage ainsi que des instructions pour restaurer vos données. Les cybercriminels disent que vous devez contacter un opérateur et remplir votre identifiant, votre clé personnelle et votre e-mail via la page de discussion. Le lien vers celui-ci ne peut être ouvert qu'en utilisant le navigateur Tor, qui doit être téléchargé par les victimes. Ensuite, après avoir établi le contact avec les cybercriminels, vous recevrez des instructions supplémentaires sur la façon d'acheter le logiciel de décryptage. En outre, il convient de noter que le redémarrage et la modification des fichiers cryptés peuvent entraîner une perte permanente. Les extorqueurs définissent certains algorithmes qui les aident à détecter votre activité. Cela signifie que si vous refusez de vous conformer à l'un des avertissements ci-dessus, vos fichiers seront momentanément supprimés.

Un nouveau cryptovirus appelé LuciferCrypte est entré dans le jeu il y a quelques jours pour crypter des données personnelles. Tant que l'étude dure, il est déjà évident que ce ransomware restreint l'accès aux données en attribuant une extension à longue chaîne (.id=[].email=[].LuciferCrypt). Une illustration rapide d'un échantillon infecté ressemblerait à ceci 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Une fois le processus de cryptage terminé, le virus continue sa présence en créant un fichier texte appelé HowToRecoverFiles.txt. Dans ce document, les extorqueurs avertissent les victimes de la réussite du chiffrement. Pour revenir en arrière, les victimes doivent contacter les cybercriminels par e-mail et payer des frais pour récupérer les fichiers. Une fois cela fait, vos données seront décryptées automatiquement, sans aucune manipulation. On dit aussi que le prix dépend directement de la rapidité avec laquelle vous répondez aux escrocs. Avant de faire cela, vous êtes également autorisé à profiter du décryptage gratuit. Les développeurs proposent d'envoyer jusqu'à 3 fichiers (moins de 4 Mo et non archivés), qui ne doivent pas contenir d'informations précieuses.

Après Pompe Ransomware attaque votre système, toutes les données sont enchaînées par des algorithmes puissants qui en limitent l'accès. Le malware ajoute .pompe l'extension aux fichiers qu'il code. Par exemple, un fichier comme 1.mp4 va acquérir un nouveau look de 1.mp4.pump et réinitialisez son icône d'origine. L'extension appliquée à la fin signifie que vos fichiers sont sous cryptage. Ces modifications s'accompagnent généralement de la création d'instructions de rançon. Dans notre cas, le virus supprime un fichier texte appelé README.txt cela vous aidera à récupérer les fichiers. Le contenu présenté à l'intérieur est court, les cybercriminels n'ont joint leur adresse e-mail que pour appeler les victimes à les contacter. Ensuite, ils donneront soi-disant des instructions supplémentaires sur la façon d'acheter le logiciel de décryptage. Quel que soit le prix, se conformer aux demandes des escrocs est risqué - ils peuvent devenir stupides dans leurs promesses et ne vous laisser aucun outil même après avoir effectué un paiement.

Rançongiciel MARS est un programme malveillant découvert par Michael Gillespie. La façon dont il crypte les fichiers est très similaire à d'autres infections de ce type - en ajoutant le nouveau .Mars or .vyb extension pour mettre en évidence les données concernées. Les victimes verront leurs fichiers se transformer en quelque chose comme ça 1.mp4.mars or 1.mp4.vyb. À la suite de ces actions, les fichiers ne peuvent en aucun cas être ouverts ou manipulés par les utilisateurs. Pour le réparer et récupérer vos données, les cybercriminels proposent de lire les instructions dans une note textuelle (!!! MARS_DECRYPT.TXT) créé après le cryptage. Il vous informe que divers types de données stockés sur votre PC ont été cryptés avec le virus. Pour le rétablir, les gens doivent payer 500 $ en BTC pour la clé de déchiffrement. Avant de le faire, les extorqueurs insistent fortement pour envoyer jusqu'à 3 fichiers pour un décryptage gratuit pour s'assurer de leur fiabilité. Après cela, l'équipe des cybercriminels répondra avec le lien de paiement pour l'achat de leur logiciel. Vous pouvez également contacter les développeurs via Telegram et acheter la clé immédiatement sans tester le décryptage gratuit. Bien que ces fonctionnalités fournies par les escrocs puissent inspirer la confiance dans leurs intentions, il est recommandé de ne pas s'entendre sur ce qu'ils disent, car il n'y a aucune garantie réelle qu'ils retourneront vos données en toute sécurité et en bon état.

Ingénierie de fichiers est un exemple d'infection par ransomware configurant les fichiers des victimes pour en restreindre l'accès. La plupart du temps, les utilisateurs ne détectent pas les logiciels malveillants entrant dans les systèmes. Il était une fois, ils finissent par voir leurs données modifiées et verrouillées d'un accès régulier. FileEngineering le fait de cette façon - en attribuant l'identité des victimes, l'adresse e-mail du cybercriminel et .crypté extension à la des fichiers. Il existe deux versions de FileEngineering diffusées sur le Web. La seule différence réside dans l'utilisation d'adresses e-mail différentes pour contacter les escrocs. Par exemple, vous pouvez voir vos données apparaître comme 1.mp4.id=[BE38B416] Email=[FileEngineering@mailfence.com].encrypted or id=[654995FE] Email=[FileEngineering@rape.lol].encrypted selon la version affectée de votre PC. Ensuite, l'étape suivante de l'activité de FileEngineering consiste à créer une note appelée Récupérez vos fichiers! .Txt qui contient des informations concernant le décryptage. À l'intérieur, les informations sont adressées par un soi-disant ingénieur de sécurité. Il dit que vous devriez le contacter par e-mail et payer une certaine quantité de Bitcoin. Ensuite, il vous rendra vos fichiers décryptés et vous donnera quelques conseils pour améliorer votre sécurité. Avant cela, vous êtes également autorisé à envoyer un petit fichier pour prouver qu'il peut déverrouiller vos données. Faire confiance aux cybercriminels est toujours un risque énorme, c'est donc à vous de décider si vous le voulez ou non. Si les fichiers ne sont pas d'une grande valeur pour vous, vous pouvez simplement supprimer FileEngineering et continuer à utiliser votre PC.