Deadnet Ransomware est une variante de MedusaLocker

Deadnet appartient à la catégorie des logiciels malveillants appelés ransomwares. Notre équipe de recherche a découvert cette menace en examinant de nouveaux échantillons de fichiers malveillants. Deadnet est membre du groupe de ransomware MedusaLocker.

L'objectif principal de Deadnet est de crypter les données, puis d'exiger un paiement pour le décryptage des fichiers compromis. Lors de nos tests, ce ransomware a crypté les fichiers et ajouté une extension « .deadnet26 » à leurs noms de fichiers d'origine. Par exemple, un fichier nommé « 1.jpg » serait transformé en « 1.jpg.deadnet26 » et « 2.png » deviendrait « 2.png.deadnet26 ».

Une fois le processus de cryptage finalisé, le ransomware Deadnet dépose une demande de rançon nommée « HOW_TO_BACK_FILES.html ». Le contenu de cette note indique que Deadnet cible les entreprises plutôt que les utilisateurs individuels. La demande de rançon affirme que le réseau de l'entreprise victime a été infiltré. Les fichiers cruciaux ont été cryptés à l'aide des algorithmes cryptographiques RSA et AES, et des données sensibles ou personnelles ont été extraites.

La demande de rançon déconseille de modifier les noms de fichiers cryptés ou d'utiliser des outils de récupération tiers, car de telles actions pourraient corrompre les données et les rendre irrécupérables. Pour retrouver l’accès aux fichiers cryptés, la victime est invitée à payer une rançon. Cependant, avant de procéder au paiement, la victime peut tester gratuitement le processus de décryptage de jusqu'à trois fichiers en fournissant ces fichiers aux attaquants.

Un délai de 72 heures est accordé à la victime pour établir la communication avec les cybercriminels ; ne pas le faire entraînera une augmentation du montant de la rançon. Si la victime choisit de ne pas payer, les données volées seront soit exposées, soit vendues par les auteurs.

La note de rançon Deadnet augmente les demandes en 72 heures

Le texte intégral de la demande de rançon Deadnet se lit comme suit :

VOTRE IDENTIFIANT PERSONNEL :

VOTRE RÉSEAU D'ENTREPRISE A ÉTÉ PÉNÉTRÉ
Tous vos fichiers importants ont été cryptés !

Vos fichiers sont en sécurité ! Seulement modifié. (RSA+AES)

TOUTE TENTATIVE DE RESTAURATION DE VOS FICHIERS AVEC UN LOGICIEL TIERS
LE CORROMPURA DE MANIÈRE PERMANENTE.
NE MODIFIEZ PAS LES FICHIERS CRYPTÉS.
NE RENOMMEZ PAS LES FICHIERS CRYPTÉS.

Aucun logiciel disponible sur Internet ne peut vous aider. Nous sommes les seuls à pouvoir
résolvez votre problème.

Nous avons collecté des données hautement confidentielles/personnelles. Ces données sont actuellement stockées sur
un serveur privé. Ce serveur sera immédiatement détruit après votre paiement.
Si vous décidez de ne pas payer, nous divulguerons vos données au public ou au revendeur.
Vous pouvez donc vous attendre à ce que vos données soient accessibles au public dans un avenir proche.

Nous recherchons uniquement de l'argent et notre objectif n'est pas de nuire à votre réputation ou d'empêcher
votre entreprise de fonctionner.

Vous pourrez nous envoyer 2-3 fichiers non importants et nous les décrypterons gratuitement
pour prouver que nous sommes en mesure de restituer vos fichiers.

Contactez-nous pour connaître le prix et obtenez un logiciel de décryptage.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

• Notez que ce serveur est disponible via le navigateur Tor uniquement

Suivez les instructions pour ouvrir le lien :

1. Tapez l'adresse "hxxps://www.torproject.org" dans votre navigateur Internet. Il ouvre le site Tor.
2. Appuyez sur « Télécharger Tor », puis appuyez sur « Télécharger Tor Browser Bundle », installez-le et exécutez-le.
3. Vous disposez désormais du navigateur Tor. Dans le navigateur Tor, ouvrez qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
4. Démarrez une discussion et suivez les instructions supplémentaires.

Si vous ne pouvez pas utiliser le lien ci-dessus, utilisez l'e-mail :
ithelp02@securitymy.name
ithelp02@yousheltered.com

• Pour nous contacter, créez un nouveau compte email gratuit sur le site : protonmail.com
  SI VOUS NE NOUS CONTACTEZ PAS DANS LES 72 HEURES, LE PRIX SERA PLUS ÉLEVÉ.

Comment pouvez-vous protéger vos données précieuses contre les attaques de ransomwares ?

La protection des données précieuses contre les attaques de ransomwares nécessite une combinaison de mesures proactives et de bonnes pratiques. Voici une approche globale pour protéger vos données :

Sauvegarde régulière des données : sauvegardez régulièrement vos données importantes vers un emplacement hors ligne ou distant. Cela garantit que même si votre système principal est compromis, vous pouvez restaurer vos données à partir d'une sauvegarde sécurisée.

Utilisez un logiciel de sécurité fiable : installez et maintenez un logiciel de sécurité réputé capable de détecter et de bloquer les menaces de ransomware.

Gardez les logiciels à jour : mettez régulièrement à jour votre système d'exploitation et vos applications logicielles pour corriger les vulnérabilités que les ransomwares pourraient exploiter.

Éducation contre le phishing : formez vos employés à reconnaître les e-mails de phishing et les pièces jointes ou liens suspects susceptibles de conduire à des infections par ransomware.

Utilisez des mots de passe forts : encouragez l'utilisation de mots de passe forts et uniques pour tous les comptes et mettez en œuvre l'authentification multifacteur (MFA) dans la mesure du possible.