Po Ransomware élargit la famille Dharma

Un ransomware récemment découvert nommé Po est la dernière souche à rejoindre la famille déjà nombreuse de clones de ransomware basés sur le ransomware Dharma.

Po fonctionne comme prévu pour une variante de ransomware, cryptant les fichiers sur le système victime. Les fichiers cryptés reçoivent une extension en plusieurs parties contenant la chaîne d'identification de la victime, l'e-mail utilisé par l'opérateur du rançongiciel et l'extension ".po". Cela transformera un fichier anciennement nommé "document.txt" en "chaîne document.txt.id.[recovery2022@tutanota.com].Po" une fois qu'il aura été chiffré.

Les fichiers concernés incluent la majorité des types de fichiers de documents, d'archives, de médias et de bases de données.

Une fois le cryptage terminé, le rançongiciel dépose une version en texte brut de sa demande de rançon dans un fichier nommé "info.txt" et affiche également une fenêtre contextuelle contenant ses demandes de rançon.

La note de rançon complète se présente comme suit :

VOS FICHIERS SONT CRYPTÉS

1024

Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers !

Si vous souhaitez les restaurer, écrivez à l'e-mail : recovery2022 at tutanota dot com VOTRE ID -

Si vous n'avez pas répondu par mail dans les 12 heures, écrivez-nous par un autre mail : mr.helper at gmx dot com

ATTENTION!

Nous vous recommandons de nous contacter directement pour éviter de surpayer les agents

Ne renommez pas les fichiers cryptés.

N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.

Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix (ils ajoutent leurs frais à nos) ou vous pouvez devenir victime d'une arnaque.