Le ransomware Ransomwared demande des images nues au lieu de Bitcoins

Une famille de ransomwares appelée Ransomwared a récemment fait la une des journaux, et il y a au moins deux très bonnes raisons à cela. D'une part, il s'adresse aux utilisateurs individuels plutôt qu'aux grandes organisations, ce qui est quelque peu inhabituel de nos jours. Mais ce qui est peut-être plus notable, ce sont les exigences des escrocs. Il semble que ce ne soit plus que des bitcoins.

Pas beaucoup de détails sur la récente campagne Ransomwared

Bien que beaucoup de gens semblent parler des échantillons Ransomwared récemment découverts, les détails réels concernant la distribution et le fonctionnement de la menace sont minces sur le terrain. Les experts qui l'ont examiné n'ont rien dit sur la façon dont ils sont tombés dessus. Il n'y a aucune information sur les méthodes de distribution et l'ingénierie sociale utilisées pour inciter les victimes à installer le ransomware, et nous ne pouvons que deviner combien de personnes ont été touchées.

Ce que nous savons avec certitude, c'est que les escrocs n'ont jamais voulu gagner de l'argent avec la campagne actuelle.

Les escrocs chiffrent les fichiers des utilisateurs et demandent des images explicites en échange du décrypteur

Une fois déployé, Ransomwared crypte les fichiers qu'il trouve sur l'ordinateur infecté et, dans les versions les plus récentes, ajoute l'extension de fichier.iwanttits. Le manque d'analyse technique signifie que nous ne pouvons pas être sûrs des fichiers que Ransomwared cible, mais les captures d'écran que les chercheurs en sécurité ont partagées suggèrent qu'il ne chiffre que les données qu'il trouve dans les dossiers suivants:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

Contrairement à la plupart des familles de logiciels malveillants de ce type, Ransomwared ne laisse aucune note de rançon. Au lieu de cela, une fois qu'il est prêt avec le cryptage, il affiche une fenêtre contextuelle avec le message suivant:

"Les fichiers sont cryptés. Montrez-moi vos seins pour le décrypter."

Cliquer sur le bouton OK ouvre une autre fenêtre, qui montre que les fichiers des quatre répertoires susmentionnés sont cryptés. Il y a un champ pour la clé de récupération et un deuxième message:

"Vous êtes ransomwared! Pour récupérer vos fichiers, envoyez-nous vos seins à: sashagrey@blurred.credit"

Les chercheurs d'Emsisoft ont examiné de plus près les nouveaux échantillons et ont souligné à juste titre que les escrocs avaient oublié de mentionner le type de seins qu'ils recherchaient. Les experts ont suggéré qu'au lieu de prendre des photos d'eux-mêmes nues et de les envoyer par courrier électronique à une adresse nommée d'après une ancienne star du porno, les victimes pourraient essayer d'envoyer des photos de petits oiseaux chanteurs et voir si cela satisferait les désirs des criminels. Même cela ne sera pas nécessaire, car les fichiers cryptés avec Ransomwared peuvent être facilement décryptés.

La restauration des données n'a pas besoin d'impliquer des photos nues

Demander aux victimes des photos nues en échange du déverrouillage de leurs fichiers pourrait être une technique relativement récente utilisée par les opérateurs Ransomwared, mais le malware lui-même n'est pas nouveau du tout. Quelques minutes sur Google vous diront que la souche faisait d'abord le tour à la fin de 2018, et bien que les demandes étaient à l'époque un peu plus traditionnelles, le fonctionnement du ransomware était à peu près identique. Quand ils l'ont vu pour la première fois, les chercheurs en sécurité ont analysé la famille des ransomwares et ont rapidement réalisé qu'elle n'était pas très avancée.

Le mécanisme de chiffrement de Ransomwared repose sur DES (abréviation de Data Encryption Standard), un algorithme de chiffrement à clé symétrique développé dans les années 1970. C'est un algorithme faible dans le meilleur des cas, et pour couronner le tout, l'analyse technique des récents échantillons Ransomwared a révélé que la clé qui déverrouille les fichiers des personnes est stockée dans le code source du malware en texte brut.

Cependant, vous n'avez pas besoin de fouiller le code pour décrypter vos fichiers. Au début du mois, Emsisoft a publié un outil de décryptage gratuit qui peut déverrouiller des fichiers cryptés par les nouvelles et anciennes versions de Ransomwared.

Les victimes de ransomwares font souvent l'erreur de sauter l'arme et de céder aux demandes des escrocs sans penser aux conséquences. Comme vous pouvez le voir, cependant, souvent, quelques minutes de recherche suffisent pour vous faire économiser quelques pièces cryptographiques ou, dans ce cas, beaucoup d'embarras. Ces recherches peuvent également vous donner une idée de l'importance des sauvegardes.

Par Duran
February 14, 2020
Ransomware
Français
February 14, 2020
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.