Avanzi Ransomware s'attend à un paiement en Bitcoin
Lors de l'examen de nouveaux échantillons de logiciels malveillants, nous avons identifié une variante de ransomware nommée Avanzi, associée à la famille Dharma. Une fois qu'il a réussi à infiltrer un ordinateur, Avanzi crypte les fichiers, modifie les noms de fichiers, affiche une demande de rançon et génère une note supplémentaire dans le fichier « info.txt ».
Avanzi ajoute l'identifiant de la victime, l'adresse e-mail avanziahelp@cock.li et l'extension « .avan » aux noms de fichiers. Par exemple, il transforme « 1.jpg » en « 1.jpg.id-9ECFA84E.[avanziahelp@cock.li].avan », « 2.png » en « 2.png.id-9ECFA84E.[avanziahelp@cock.li].avan. .li].avan", et ainsi de suite.
La demande de rançon émise par le ransomware Avanzi commence par une déclaration selon laquelle tous les fichiers ont été cryptés, suivie d'une assurance que la récupération est possible. Il est demandé aux victimes de contacter les attaquants par e-mail (avanziahelp@cock.li) dans un délai de 12 heures, avec un e-mail alternatif (avanzirest@tuta.io) fourni en cas de réponse tardive.
La note étend un geste de bonne volonté, offrant le décryptage gratuit jusqu'à trois fichiers, soulignant les conditions spécifiques d'éligibilité. De plus, les victimes reçoivent des conseils sur l’acquisition de Bitcoins, le paiement de rançon préféré, et sont mises en garde contre certaines actions, telles que renommer des fichiers ou tenter un décryptage par un tiers, afin d’éviter une perte permanente de données ou d’être la proie d’escroqueries.
La note de rançon d'Avanzi reste brève
Le texte intégral du fichier « info.txt » généré par Avanzi se lit comme suit :
all your data has been locked us
You want to return?
write email avanziahelp@cock.li or avanzirest@tuta.io
Le texte plus long à l’intérieur de la fenêtre contextuelle ne mentionne jamais non plus le montant exact de la rançon, mais uniquement des instructions sur la façon d’obtenir du Bitcoin. Le texte à l'intérieur de la fenêtre contextuelle est le suivant :
Avanzi
All your files have been encrypted!
Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.ioDécryptage gratuit en garantie
Avant de payer vous pouvez nous envoyer jusqu'à 3 fichiers pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 3 Mo (non archivés) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, grandes feuilles Excel, etc.)Comment obtenir des Bitcoins
Vous pouvez également trouver d’autres endroits pour acheter des Bitcoins et un guide pour débutants ici :
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte permanente de données.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation de prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque.
Comment pouvez-vous protéger vos fichiers contre les ransomwares similaires à Avanzi ?
La protection de vos fichiers contre les menaces de ransomwares, telles qu'Avanzi, implique la mise en œuvre d'une combinaison de mesures proactives pour prévenir les infections et la mise en place d'un plan de récupération robuste en cas d'attaque. Voici quelques recommandations :
Sauvegardes régulières :
Sauvegardez régulièrement vos fichiers importants sur un appareil externe ou un service cloud sécurisé.
Assurez-vous que le processus de sauvegarde est automatisé et fréquent, afin que vous disposiez toujours de copies à jour de vos données.
Sauvegardes hors ligne :
Conservez au moins un ensemble de sauvegardes hors ligne ou déconnecté de votre réseau pour empêcher les ransomwares de les atteindre et de les chiffrer.
Logiciel de sécurité :
Utilisez un logiciel antivirus et anti-malware réputé pour détecter et bloquer les menaces de ransomware.
Gardez votre logiciel de sécurité, votre système d'exploitation et vos applications à jour avec les derniers correctifs et mises à jour.
Filtrage des e-mails et du Web :
Mettez en œuvre des solutions de filtrage des e-mails pour identifier et bloquer les e-mails de phishing susceptibles de contenir des ransomwares.
Utilisez des outils de filtrage Web pour bloquer l’accès aux sites Web malveillants susceptibles de distribuer des ransomwares.
Liste blanche des applications :
Utilisez la liste blanche des applications pour autoriser uniquement les programmes approuvés à s'exécuter sur votre système, empêchant ainsi l'exécution d'applications non autorisées, y compris les ransomwares.