Ransomware

Les ransomwares restent l’un des types de logiciels malveillants les plus répandus et les plus dommageables affectant les utilisateurs du monde entier. Qehu Ransomware, découvert le 4 mai 2024, illustre l’évolution du paysage des menaces, utilisant des méthodes sophistiquées pour chiffrer les fichiers et exiger une rançon. Cet article examine la nature du ransomware Qehu, ses vecteurs d'infection, ses mécanismes de cryptage, la demande de rançon qu'il génère et les possibilités de décryptage, y compris l'utilisation d'outils comme le décrypteur Emsisoft STOP Djvu. Le ransomware Qehu est un logiciel malveillant conçu pour crypter les fichiers sur l'ordinateur d'une victime, les rendant ainsi inaccessibles. Une fois le processus de cryptage terminé, il demande une rançon à la victime en échange de la clé de décryptage nécessaire pour déverrouiller les fichiers. La variante Qehu ajoute un .qehu extension de fichier aux fichiers cryptés, les rendant facilement identifiables. Parallèlement au cryptage, Qehu génère une demande de rançon (_readme.txt), généralement placés sur le bureau ou dans les répertoires concernés, indiquant aux victimes comment payer la rançon pour récupérer leurs fichiers.

Qepi Ransomware est un logiciel malveillant appartenant à la famille de ransomwares STOP/DJVU, connu pour ses tactiques de cryptage de fichiers et d'extorsion. Cette variante du ransomware cible spécifiquement les données personnelles et professionnelles stockées sur les ordinateurs infectés, cryptant les fichiers et exigeant une rançon pour leur décryptage. Lors de l'infection, Qepi Ransomware analyse l'ordinateur à la recherche de fichiers et les crypte, en ajoutant une extension spécifique, .qepi, aux noms de fichiers. Cela marque les fichiers comme cryptés et inaccessibles sans la clé de décryptage. Le ransomware utilise une combinaison d’algorithmes de cryptage AES et RSA, rendant le décryptage sans les clés correspondantes pratiquement impossible. Après avoir crypté les fichiers, Qepi Ransomware génère une demande de rançon nommée _readme.txt, qui est généralement placé sur le bureau et dans des dossiers contenant des fichiers cryptés. Cette note contient des instructions destinées à la victime sur la manière de contacter les cybercriminels et de payer la rançon pour potentiellement recevoir une clé de déchiffrement.

Tuborg Ransomware est une variante de logiciel malveillant qui crypte les fichiers sur les systèmes infectés, les rendant inaccessibles aux utilisateurs. Il est identifié comme une variante de la famille des ransomwares Proton. Ce ransomware cible spécifiquement différents types de fichiers et ajoute une extension unique, .tuborg, aux noms de fichiers après les avoir chiffrés. Par exemple, un fichier initialement nommé 1.jpg serait renommé en 1.jpg.[Hiit9890@cyberfear.com].tuborg après cryptage. En cas d'infection réussie, Tuborg Ransomware utilise des algorithmes de cryptage robustes, en particulier AES (Advanced Encryption Standard) et ECC (Elliptic Curve Cryptography), pour verrouiller les fichiers. Ce cryptage est hautement sécurisé, ce qui rend le décryptage non autorisé extrêmement difficile sans les clés de décryptage nécessaires détenues par les attaquants. Le ransomware génère une demande de rançon dans un fichier texte nommé #tuborg-Help.txt, qui est placé sur le bureau ou dans des dossiers contenant des fichiers cryptés. Cette note informe les victimes que leurs fichiers ont été cryptés et volés, et que la récupération sans le service de décryptage des attaquants est impossible. Il exige un paiement en échange d'un logiciel de décryptage et de la destruction des données volées. La note comprend également généralement des informations de contact et met en garde contre le recours à l'aide de sociétés de récupération tierces, suggérant qu'une action rapide peut réduire le montant de la rançon.

Robaj Ransomware est un type de logiciel malveillant qui appartient au famille de rançongiciels Conti. Ce ransomware crypte toutes les données de l'ordinateur d'une victime, y compris les photos, les fichiers texte, les tableaux Excel, les fichiers audio, les vidéos, etc., les rendant inaccessibles sans clé de décryptage. Une fois que le ransomware Robaj infecte un ordinateur, il ajoute une extension spécifique aux noms de fichiers des fichiers cryptés. Cette extension est .Robaj. Par exemple, un fichier initialement nommé photo.jpg serait renommé en photo.jpg.Robaj, et de même, document.docx deviendrait document.docx.Robaj. Le ransomware Robaj utilise des algorithmes de cryptage puissants pour verrouiller les fichiers sur les ordinateurs infectés. Le type exact de chiffrement, qu'il soit symétrique ou asymétrique, n'est pas spécifié dans les sources, mais étant donné son association avec la famille Conti, il utilise probablement des mécanismes robustes pour empêcher tout décryptage non autorisé. Le ransomware dépose une demande de rançon nommée readme.txt sur l'ordinateur de la victime. Cette note informe la victime que ses fichiers ont été cryptés et qu'elle doit payer une rançon en Bitcoin pour récupérer ses données. Il est intéressant de noter que la demande de rançon ne précise pas le montant à payer ; elle demande simplement à la victime de contacter les agresseurs via des canaux de communication anonymes, qui ne sont pas clairement définis dans la note.

ATCK Ransomware est une variante de logiciel malveillant qui crypte les fichiers sur les ordinateurs infectés, les rendant ainsi inaccessibles aux utilisateurs. Ce ransomware fait partie de la famille Dharma, connue pour ses capacités dommageables et son impact étendu. Cet article fournit un aperçu approfondi du fonctionnement du ransomware ATCK, y compris ses méthodes d'infection, son processus de cryptage, les détails de la demande de rançon et les options de récupération potentielles. Lors de l’infection, le ransomware ATCK crypte les fichiers et modifie considérablement leurs noms de fichiers. Il ajoute l'identifiant unique de la victime, l'adresse e-mail de l'attaquant et le .ATCK extension au nom de chaque fichier crypté. Par exemple, un fichier nommé example.jpg serait renommé en example.jpg.id-{random-ID}.[attackattack@tutamail.com].ATCK après cryptage. Ce système de changement de nom signifie non seulement que le fichier a été crypté, mais fournit également à la victime les informations de contact pour la négociation de la rançon. Le ransomware ATCK répond à ses demandes de rançon via deux méthodes principales : un fichier texte nommé info.txt et une fenêtre pop-up. Les deux notes informent la victime que ses fichiers ont été cryptés et offrent un moyen de les restaurer en contactant les attaquants via les adresses e-mail fournies (attackattack@tutamail.com ou Attackattack@cock.li). Les notes de rançon soulignent que tenter de décrypter des fichiers avec un logiciel tiers pourrait entraîner une perte permanente de données, et elles proposent le décryptage gratuit de quelques fichiers comme preuve qu'ils peuvent inverser le cryptage.

IRIS Ransomware est un logiciel malveillant qui crypte les fichiers sur l'ordinateur d'une victime, exigeant une rançon pour leur décryptage. Il est identifié comme une variante de la famille des ransomwares Chaos. Ce crypto-virus est particulièrement dangereux car non seulement il verrouille les fichiers, mais menace également de divulguer des données sensibles volées si la rançon n'est pas payée. Lors de l'infection, IRIS Ransomware commence à chiffrer les fichiers dans différents formats, notamment les documents, les images et les bases de données. Il ajoute une extension unique de quatre caractères à chaque fichier qu'il crypte, faisant apparaître les noms de fichiers avec des caractères aléatoires, tels que 1.jpg.p67l or 2.docx.2n8h. Après le cryptage, IRIS modifie le fond d'écran du bureau et dépose une demande de rançon nommée read_it.txt dans les répertoires concernés. Cette note informe les victimes que leurs fichiers ont été cryptés et exige une rançon de 350 $, payable en Monero (XMR), une cryptomonnaie. La note prévient également que les données sensibles de la victime, notamment son historique de navigation et ses informations personnelles, ont été volées, ce qui implique que le formatage de l'appareil n'empêchera pas les attaquants de divulguer ces informations.

Senator Ransomware est un type de logiciel malveillant qui crypte les fichiers sur l'ordinateur d'une victime, les rendant inaccessibles jusqu'à ce qu'une rançon soit payée. Ce ransomware fait partie d’une catégorie plus large de logiciels malveillants qui sont de plus en plus répandus dans les cyberattaques dans divers secteurs. Comprendre les mécanismes de Senator Ransomware, y compris son processus d'infection, le cryptage qu'il utilise, les notes de rançon qu'il génère et le potentiel de décryptage, est crucial à la fois pour la prévention et la remédiation. Une caractéristique distinctive de Senator Ransomware est sa méthode de renommage des fichiers cryptés. Il ajoute une adresse e-mail, l'identifiant d'une victime et le .SENATOR extension aux noms de fichiers. Par exemple, un fichier initialement nommé document.docx serait renommé en quelque chose comme document.docx.[email_address].[victim_ID].SENATOR après cryptage. Cette convention de changement de nom est un indicateur clair de la présence de Senator Ransomware sur le système. Senator Ransomware laisse tomber une demande de rançon nommée SENATOR ENCRYPTED.txt dans les répertoires contenant les fichiers cryptés. Cette note est destinée à communiquer avec les victimes, en leur fournissant des instructions sur la marche à suivre. Il comprend généralement le montant de la rançon, attendu en crypto-monnaie, et des instructions détaillées sur la façon de contacter les attaquants via diverses méthodes de communication, notamment la messagerie de session, le télégramme ou le courrier électronique. La note est conçue pour contraindre la victime à payer la rançon en échange de la clé de déchiffrement.

Bgzq Ransomware est un type de logiciel malveillant qui cible les ordinateurs en cryptant des fichiers et en exigeant une rançon pour leur décryptage. Il fait partie d’une catégorie plus large de logiciels malveillants appelés ransomwares, qui constituent une menace importante pour les utilisateurs individuels, les entreprises et les organisations du monde entier. Lors de l'infection, le ransomware Bgzq ajoute une extension de fichier spécifique aux fichiers cryptés, qui est .bgzq. Cela marque les fichiers comme inaccessibles et ils ne peuvent pas être ouverts par des moyens standard. Le cryptage utilisé par Bgzq est robuste, utilisant des algorithmes cryptographiques puissants pour verrouiller les fichiers, empêchant ainsi tout accès non autorisé sans la clé de décryptage. Suite au processus de cryptage, le ransomware Bgzq génère une demande de rançon nommée _README.txt, qui est placé dans des dossiers contenant les fichiers cryptés. Cette note contient généralement des instructions destinées à la victime sur la manière de payer la rançon et de contacter les attaquants. La note souligne que le décryptage sans l'intervention des attaquants n'est pas possible, exhortant les victimes à payer une rançon pour récupérer l'accès à leurs données.