Qu’est-ce que ChocVM Ransomware ?
Une nouvelle variante de ransomware nommée ChocVM, associée à la famille Makop, a récemment fait son apparition. Ce logiciel malveillant crypte les fichiers, altère les fonds d'écran du bureau, modifie les noms de fichiers et laisse une note de rançon distinctive dans un fichier nommé "+README-WARNING+.txt".
Table of Contents
Cryptage et changement de nom de fichiers
ChocVM utilise une approche unique pour renommer les fichiers en ajoutant une chaîne de caractères aléatoires, l'adresse e-mail « xakep@dark-forum.ru » et l'extension de fichier « .chocolate ». Par exemple, un fichier tel que "1.jpg" se transforme en "1.jpg.[2AF20FA3].[xakep@dark-forum.ru].chocolate".
Présentation de la note de rançon ChocVM
La demande de rançon laissée par ChocVM précise que les fichiers de la victime ont été cryptés sans altérer la structure des fichiers. Pour retrouver l’accès à leurs fichiers, les victimes doivent payer une rançon. L'attaquant souligne qu'il s'agit d'une transaction commerciale qui ne se soucie pas des intérêts de la victime. Une offre particulière est faite pour décrypter gratuitement deux petits fichiers avec des extensions simples, en fournissant des informations de contact via des adresses e-mail : xakep@dark-forum.ru ou hackr@dark-forum.ru.
La demande de rançon se lit comme suit :
::: Greetings ChocVM :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailboxes: xakep@dark-forum.ru or hackr@dark-forum.ru.5.
Q : Comment se déroulera le processus de décryptage après le paiement ?
R : Après le paiement, nous vous enverrons notre programme scanner-décodeur et des instructions d’utilisation détaillées. Avec ce programme, vous pourrez décrypter tous vos fichiers cryptés..6.
Q : Si je ne veux pas payer de mauvaises personnes comme vous ?
R : Si vous ne coopérez pas avec notre service, pour nous, cela n'a pas d'importance. Mais vous perdrez votre temps et vos données, car nous seuls possédons la clé privée. En pratique, le temps est bien plus précieux que l’argent.:::MÉFIEZ-VOUS:::
N'essayez PAS de modifier les fichiers cryptés par vous-même !
Si vous essayez d'utiliser un logiciel tiers pour restaurer vos données ou des solutions antivirus, veuillez effectuer une sauvegarde de tous les fichiers cryptés !
Toute modification des fichiers cryptés peut entraîner des dommages à la clé privée et, par conséquent, la perte de toutes les données.
Détails sur le paiement de la rançon
Lors du paiement, l'attaquant s'engage à fournir un programme de décryptage ainsi que des instructions détaillées pour le décryptage des fichiers. La note met explicitement en garde contre toute tentative de restauration indépendante de fichiers, affirmant que de telles actions pourraient endommager la clé privée et entraîner une perte irréversible de données.
Aperçu des menaces des ransomwares : un aperçu
Lorsque des individus sont victimes d’attaques de ransomwares, ils sont contraints de payer des cybercriminels pour des outils de décryptage. En règle générale, les alternatives incluent la recherche d’outils de décryptage gratuits en ligne ou l’utilisation de sauvegardes de données. Toutefois, le paiement de rançons est fortement déconseillé en raison des incertitudes quant à la fiabilité des cybercriminels dans la fourniture des outils de décryptage promis.
Action immédiate contre les ransomwares
Il est crucial d’éliminer rapidement les ransomwares des appareils compromis, car les logiciels malveillants peuvent lancer des cryptages supplémentaires et se propager à travers les réseaux locaux, conduisant au cryptage des fichiers sur les ordinateurs interconnectés.
Paysage des ransomwares
Les attaques de ransomware peuvent varier en termes de méthodes de livraison et de cibles, mais la demande constante de paiement en échange du décryptage des données, du renommage des fichiers et de la présentation d'une demande de rançon demeure. Des exemples d'autres variantes de ransomware incluent BO Team, Cdmx et Tprc.
Comprendre les infections par ransomware : causes et prévention
Méthodes d'infection
Les ransomwares infiltrent souvent les systèmes via des e-mails trompeurs contenant des pièces jointes ou des liens malveillants. Des utilisateurs imprudents peuvent lancer par inadvertance des téléchargements et des exécutions en cliquant sur ces liens ou en ouvrant des pièces jointes. Les chevaux de Troie sont un autre outil utilisé pour diffuser des charges utiles malveillantes, notamment des ransomwares. Les acteurs malveillants exploitent également des canaux tels que les réseaux P2P, les publicités malveillantes, les vulnérabilités logicielles, les logiciels piratés, etc.
Mesures protectives
Pour se protéger contre les infections par ransomware, il est conseillé aux utilisateurs d'installer des mises à jour régulières pour le système d'exploitation et les applications installées. Utiliser un logiciel antivirus ou anti-malware réputé, faire preuve de prudence avec les e-mails provenant de sources inconnues, éviter les sites Web à risque et s'abstenir de télécharger des fichiers à partir de sources non fiables sont des mesures préventives essentielles.
Faire face à l’infection ChocVM
Si un ordinateur est déjà infecté par ChocVM, il est recommandé d'utiliser un programme anti-malware pour supprimer automatiquement cette menace de ransomware.