Empire Ransomware verrouille les systèmes des victimes

Au cours de l'examen de nouveaux échantillons de fichiers, un ransomware connu sous le nom d'Empire a été identifié. Empire utilise le cryptage pour empêcher les victimes d'accéder à leurs fichiers et ajoute l'extension « .emp » aux noms de fichiers. Par exemple, il remplace « 1.jpg » par « 1.jpg.emp », « 2.png » par « 2.png.emp », et ainsi de suite.

De plus, Empire génère un fichier nommé « HOW-TO-DECRYPT.txt », qui sert de demande de rançon. Les attaquants prétendent avoir crypté de manière sécurisée tous les fichiers de l'ordinateur de la victime à l'aide de leur logiciel propriétaire, affirmant que seuls une clé spécifique et un décrypteur en leur possession peuvent restaurer les fichiers. Pour récupérer les données cryptées, les victimes sont invitées à acheter le décrypteur via un lien fourni sur un bot Telegram.

En cas d'indisponibilité du bot, une méthode de communication alternative est proposée par e-mail (howtodecryptreserve@proton.me). La note déconseille fortement de tenter de récupérer les fichiers de manière indépendante, car cela pourrait entraîner des dommages irréversibles. De plus, les victimes sont averties de ne pas éteindre leur ordinateur tant que le processus de décryptage n’est pas terminé.

Empire Ransom Note contient une liste de fichiers cryptés

Le texte intégral de la demande de rançon de l’Empire est le suivant :

Empire welcomes you!

All your files are securely encrypted by our software.
Unfortunately, nothing will be restored without our key and decryptor.
In this regard, we suggest you buy our decryptor to recover your information.
To communicate, use the Telegram bot at this link

hxxps://t.me/how_to_decrypt_bot

If the bot is unavailable, then write to the reserve email address: HowToDecryptReserve@proton.me

There you will receive an up-to-date contact for personal communication.

Do not try to recover files yourself, they may break and we will not be able to return them, also try not to turn off your computer until decryption.
Your ID is -

(list of encrypted files)

Comment pouvez-vous protéger vos données sensibles contre les ransomwares ?

La protection des données sensibles contre les ransomwares nécessite une combinaison de mesures proactives et de bonnes pratiques. Voici quelques étapes clés pour vous aider à protéger vos données contre les attaques de ransomwares :

Sauvegardes régulières :
Effectuez des sauvegardes régulières de vos données importantes et assurez-vous qu’elles sont stockées en toute sécurité.
Utilisez une combinaison de sauvegardes locales et hors site pour atténuer le risque d'attaques de ransomware locales et basées sur le réseau.
Vérifiez l’intégrité de vos sauvegardes et testez régulièrement le processus de restauration.

Logiciel de mise à jour :
Gardez votre système d'exploitation, votre logiciel antivirus et toutes vos applications à jour avec les derniers correctifs de sécurité.
Activez les mises à jour automatiques autant que possible pour garantir une protection rapide contre les vulnérabilités connues.

Utilisez un logiciel de sécurité fiable :
Installez un logiciel antivirus et anti-malware réputé sur votre système.
Gardez les définitions des logiciels de sécurité à jour pour détecter et bloquer les nouvelles menaces.

Sécurité du courrier électronique :
Mettez en œuvre des solutions de filtrage des e-mails pour bloquer les e-mails et pièces jointes malveillants.
Configurez les systèmes de messagerie pour afficher les extensions de fichiers et avertir les utilisateurs des menaces potentielles.

Sécurité Internet:
Utilisez des pare-feu pour surveiller et contrôler le trafic réseau entrant et sortant.
Segmentez votre réseau pour contenir la propagation des ransomwares en cas d'infection.