DeathRansom Ransomware demande une rançon étrange

Lors d'une vérification de routine des nouvelles soumissions aux bases de données de menaces en ligne, notre équipe de chercheurs est tombée sur le ransomware DeathRansom, qui appartient à la famille Chaos de programmes de ransomware.

Lors de l'exécution d'un échantillon de test du rançongiciel DeathRansom sur notre ordinateur de test, nous avons observé que le programme cryptait les fichiers et ajoutait une extension à quatre caractères à leurs noms de fichiers. Par exemple, un fichier nommé "1.jpg" a été changé en "1.jpg.888e" tandis que "2.png" est devenu "2.png.tv52" et ainsi de suite.

En plus du cryptage des fichiers, le programme a créé une note de rançon nommée "read_it.txt" et a changé le fond d'écran du bureau. La note de rançon informait la victime que ses fichiers avaient été cryptés et fournissait un ensemble d'instructions sur la façon de décrypter les données.

La note exigeait que la victime envoie un e-mail aux attaquants et leur envoie un code cadeau pour Roblox, une plate-forme de jeu en ligne populaire. Les attaquants ont promis d'envoyer l'outil de décryptage une fois qu'ils auraient reçu le code cadeau. Le fond d'écran affiché par le rançongiciel DeathRansom a en outre révélé que la rançon demandée était une carte-cadeau d'une valeur de 25 $, soit l'équivalent de 2 200 Robux - la devise du jeu utilisée sur la plateforme Roblox.

La note de DeathRansom demande Robux

La note de rançon complète produite par DeathRansom se lit comme suit :

Oups, DeathRansom a verrouillé vos fichiers !
Yi=
Vous pouvez déverrouiller vos fichiers en :

1. Envoyez un e-mail à deathpoppyclient@gmail.com.
2. Envoi d'un code cadeau roblox par e-mail.
3. Nous vous enverrons le décrypteur.
   SI AUCUNE RÉPONSE, VÉRIFIEZ VOTRE DOSSIER SPAM OU INUTILE !
   si non payé je réinitialiserai ce pc
   Pour l'instant, vos fichiers sont avec MOI !
   LOGICIEL MALVEILLANT PAR DEATHPOPPY
   2345567788888 n'est pas un code n'essayez pas

Comment les ransomwares comme DeathRansom se propagent-ils généralement en ligne ?

Les ransomwares, y compris DeathRansom, peuvent être diffusés en ligne en utilisant diverses méthodes. L'un des moyens les plus courants consiste à utiliser des e-mails de phishing ou des liens malveillants qui incitent les utilisateurs à télécharger et à exécuter le logiciel malveillant sur leurs systèmes informatiques. Les attaquants peuvent également utiliser des kits d'exploitation ou des vulnérabilités logicielles pour infecter les machines sans aucune interaction de l'utilisateur. En outre, les rançongiciels peuvent être diffusés via des publicités malveillantes, où des publicités malveillantes sont placées sur des sites Web légitimes, ou via des installateurs ou des mises à jour de logiciels infectés.

Une fois le logiciel malveillant exécuté sur un système, il peut rapidement se propager à d'autres appareils du réseau ou à des périphériques de stockage connectés. Par conséquent, il est crucial de maintenir des mesures de sécurité solides, telles que la mise à jour des logiciels, la prévention des liens ou des e-mails suspects et la sauvegarde régulière des fichiers importants pour se protéger contre la menace d'attaques de ransomwares.