AttackFiles Ransomware appartient à la famille MedusaLocker

Lors de notre examen de nouveaux fichiers, notre équipe de recherche a découvert le programme malveillant AttackFiles, associé à la famille de ransomwares MedusaLocker. Ce type de logiciel est conçu pour crypter des fichiers, exigeant une rançon pour leur décryptage.

Lorsque nous avons exécuté un échantillon d'AttackFiles sur notre environnement de test, celui-ci a chiffré les fichiers et ajouté l'extension « .attackfiles » à leurs noms. Par exemple, un fichier nommé « 1.jpg » deviendrait « 1.jpg.attackfiles », et « 2.png » deviendrait « 2.png.attackfiles », et ainsi de suite.

Une fois le processus de cryptage terminé, ce ransomware a généré une demande de rançon intitulée « How_to_back_files.html ». La note fait référence au système infecté comme à un « réseau d'entreprise », indiquant que les cibles ne sont pas des utilisateurs individuels. Dans le message de rançon, AttackFiles affirme que le réseau de l'entreprise de la victime a été piraté, que les fichiers ont été cryptés à l'aide des algorithmes cryptographiques RSA et AES et que des données confidentielles et personnelles ont été volées.

Pour récupérer les fichiers cryptés, la victime est invitée à payer une rançon. Si la victime refuse d’obtempérer, le contenu volé sera soit divulgué, soit vendu. Avant de répondre aux demandes de rançon, la capacité de décryptage peut être testée gratuitement sur 2 à 3 fichiers. La note met également en garde contre les actions qui pourraient entraîner une perte permanente de données.

Note de rançon AttackFiles dans son intégralité

Le texte complet de la demande de rançon AttackFiles se lit comme suit :

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem.

We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
crypt2024_tm123@outlook.com
crypt2024_tm123@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Comment les ransomwares sont-ils généralement distribués en ligne ?

Les ransomwares sont généralement distribués en ligne via diverses méthodes, notamment :

E-mails de phishing : les attaquants envoient des e-mails contenant des pièces jointes ou des liens malveillants, déguisés en messages légitimes provenant de sources fiables telles que des banques, des compagnies maritimes ou des agences gouvernementales. Une fois la pièce jointe ouverte ou le lien cliqué, le ransomware est téléchargé sur le système de la victime.

Publicité malveillante : les publicités malveillantes (publicités malveillantes) sur des sites Web légitimes peuvent contenir des scripts qui redirigent les utilisateurs vers des sites Web hébergeant des ransomwares ou téléchargent directement des ransomwares sur l'appareil de l'utilisateur à leur insu.

Kits d'exploit : il s'agit de progiciels préemballés contenant divers exploits ciblant les vulnérabilités des logiciels ou des systèmes d'exploitation obsolètes. Lorsqu'un utilisateur visite un site Web compromis, le kit d'exploitation analyse son système à la recherche de vulnérabilités et délivre des charges utiles de ransomware.

Attaques RDP (Remote Desktop Protocol) : les attaquants exploitent des mots de passe faibles ou par défaut sur les services RDP pour obtenir un accès non autorisé aux systèmes. Une fois à l’intérieur, ils déploient un ransomware directement sur le réseau.

Téléchargements intempestifs : cela se produit lorsqu'un utilisateur visite un site Web compromis ou malveillant et que des logiciels malveillants sont automatiquement téléchargés et installés sur son système sans son consentement ni sa connaissance.

Partage de fichiers peer-to-peer (P2P) : les ransomwares peuvent être distribués via des logiciels piratés, des jeux ou des fichiers multimédias partagés sur les réseaux P2P. Les attaquants peuvent déguiser les ransomwares en fichiers légitimes pour inciter les utilisateurs à les télécharger et à les exécuter.

Liens malveillants dans les applications de chat et les réseaux sociaux : les attaquants peuvent distribuer des ransomwares via des liens partagés dans des applications de chat ou des plateformes de réseaux sociaux, incitant les utilisateurs à cliquer dessus avec des messages ou des offres alléchantes.

Attaques de point d'eau : dans cette méthode, les attaquants compromettent les sites Web fréquemment visités par leur public cible. Lorsque les utilisateurs visitent ces sites compromis, ils sont sans le savoir exposés à des ransomwares.

Ce ne sont là que quelques exemples de la manière dont les ransomwares peuvent être distribués en ligne. Les attaquants font constamment évoluer leurs tactiques pour contourner les mesures de sécurité et exploiter les vulnérabilités. Il est donc crucial que les utilisateurs et les organisations restent vigilants et emploient des pratiques de cybersécurité robustes.