Backoff Ransomware modifie le fond d'écran du système

Notre équipe de recherche a identifié le ransomware Backoff lors de l'examen de nouveaux échantillons de fichiers. Ce logiciel malveillant fait partie de la famille des ransomwares Chaos, un type de malware connu pour crypter les données et exiger des rançons pour le décryptage.

Backoff crypte les fichiers et ajoute une extension « .backoff » à leurs noms. Par exemple, un fichier original nommé « 1.jpg » est devenu « 1.jpg.backoff » et « 2.png » se transforme en « 2.png.backoff », et ainsi de suite. De plus, le ransomware modifie le fond d'écran du bureau et génère une demande de rançon nommée « read_it.txt ».

Selon le message de Backoff, le ransomware aurait été publié à des fins de test. Notamment, la note ne contient pas d’instructions pour le décryptage ou le paiement d’une rançon, mais fournit les coordonnées des attaquants. La note suggère que l'auteur du ransomware sait que le ransomware sera examiné dans un système de banc d'essai, il s'agit donc probablement d'une toute première version qui est encore en développement actif.

La note de rançon de retrait reste brève

Le texte intégral de la très brève demande de rançon produite par Backoff se lit comme suit :

Good Afternoon.
Since you are being a pain and trying to grab my files and be nosey, here is a little treat.

Im testing stuff just as you are.

Care to chat. My tele is
@anontsugumi

Comment les ransomwares peuvent-ils se propager sur Internet ?

Les ransomwares peuvent se propager sur Internet par diverses méthodes, exploitant les vulnérabilités et les comportements humains. Voici quelques méthodes courantes :

E-mails de phishing : les cybercriminels utilisent souvent des e-mails de phishing pour distribuer des ransomwares. Ces e-mails contiennent des pièces jointes ou des liens malveillants qui, une fois cliqués, peuvent télécharger et exécuter le ransomware sur le système de la victime.

Sites Web et téléchargements malveillants : la visite de sites Web compromis ou malveillants peut exposer les utilisateurs à des téléchargements intempestifs, dans lesquels des logiciels malveillants, y compris des ransomwares, sont automatiquement téléchargés et exécutés sur l'ordinateur de l'utilisateur à son insu.

Kits d'exploitation : les cybercriminels peuvent utiliser des kits d'exploitation qui ciblent les vulnérabilités des logiciels et des systèmes d'exploitation. Si le système d'un utilisateur n'est pas correctement corrigé ou mis à jour, ces kits peuvent exploiter les vulnérabilités pour installer des ransomwares.

Publicité malveillante : la publicité malveillante, ou publicité malveillante, consiste à insérer un code malveillant dans des publicités en ligne. Les utilisateurs qui cliquent sur ces publicités peuvent sans le savoir télécharger des ransomwares sur leurs systèmes.

Téléchargements drive-by : les ransomwares peuvent être diffusés via des téléchargements drive-by, où les logiciels malveillants sont automatiquement téléchargés et installés lorsqu'un utilisateur visite un site Web compromis ou malveillant. Cela peut se produire sans aucune action requise de la part de l'utilisateur.

Exploits du protocole RDP (Remote Desktop Protocol) : les attaquants peuvent exploiter les vulnérabilités du protocole RDP (Remote Desktop Protocol) pour obtenir un accès non autorisé à un système. Une fois à l’intérieur, ils peuvent déployer un ransomware.

Ingénierie sociale : les cybercriminels utilisent des techniques d'ingénierie sociale pour inciter les individus à télécharger des fichiers malveillants ou à cliquer sur des liens. Cela peut provenir de fausses mises à jour logicielles, de fausses notifications ou d’offres alléchantes.

Attaques de point d'eau : lors d'attaques de point d'eau, les cybercriminels compromettent les sites Web fréquemment visités par le public cible. Lorsque les utilisateurs visitent ces sites compromis, ils peuvent, sans le savoir, télécharger un ransomware.