GhostLocker Ransomware cryptera les fichiers des victimes
GhostLocker représente un programme ransomware créé par le groupe cybercriminel GhostSec. Ce type de malware, classé comme ransomware, est conçu pour crypter les données et exiger un paiement pour leur décryptage.
Dans notre environnement de test, GhostLocker a crypté les fichiers et ajouté une extension « .ghost » à leurs noms. Par exemple, un fichier original nommé « 1.jpg » se transformerait en « 1.jpg.ghost », tandis que « 2.png » deviendrait « 2.png.ghost », et ce modèle était appliqué à tous les fichiers concernés.
Une fois le processus de cryptage terminé, une demande de rançon, généralement intitulée « lmao.html », a été déposée. Il convient de noter que le nom du document HTML peut varier.
Le message de GhostLocker informe la victime que ses fichiers ont été cryptés à l'aide des algorithmes cryptographiques RSA-2048 et AES-12 et que des données sensibles ont été récupérées.
Pour décrypter les fichiers, une rançon doit être payée. La victime dispose d'un délai de 48 heures pour contacter les attaquants, et le non-respect de ce délai entraînera une augmentation du montant de la rançon. Le refus de se conformer aux demandes des cybercriminels entraînera la destruction des données.
La note met en garde contre le fait de renommer les fichiers cryptés ou d'utiliser des outils de récupération tiers, car cela pourrait entraîner une perte permanente de données. La victime est également avertie que le recours à l'aide de tiers ou d'autorités entraînera une perte de données et la révélation du contenu volé.
GhostLocker Ransom Note tente de paraître intelligent
Le texte intégral de la demande de rançon générée dans le fichier « lmao.html » se lit comme suit :
FantômeLocker
Nous courons de la merde parce que nous le pouvonsTOUS VOS FICHIERS IMPORTANTS SONT VOLÉS ET CHIFFRÉS
VOTRE ID DE CHIFFREMENT PERSONNEL : - (ENREGISTREZ CECI)Tous vos fichiers importants ont été volés et cryptés avec les chiffrements de qualité militaire RSA-2048 et AES-128. Cela signifie que peu importe tous vos efforts, la seule façon de récupérer vos fichiers est de travailler avec nous et de suivre nos demandes.
Vous disposez de 48 heures (2 jours) pour nous contacter. Si vous ne faites pas l’effort de nous contacter dans ce délai, le montant de la rançon augmentera.
Si vous ne payez pas la rançon, vos fichiers seront détruits pour toujours.
Vous pouvez nous contacter aux coordonnées suivantes
Attention
NE payez PAS la rançon à quelqu’un d’autre que les principales coordonnées mentionnées ici.
NE renommez PAS les fichiers cryptés
N'essayez PAS de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte permanente de données.
Toute implication des forces de l'ordre, des équipes de récupération de données ou de fournisseurs de sécurité tiers entraînera une perte permanente de données et une publication immédiate des données.
Comment un ransomware peut-il infiltrer votre système ?
Les ransomwares peuvent infiltrer votre système par diverses méthodes, et comprendre ces points d’entrée est crucial pour prévenir de telles attaques. Voici quelques moyens courants par lesquels les ransomwares peuvent accéder à votre système :
- E-mails de phishing : la méthode la plus courante consiste à envoyer des e-mails de phishing. Vous pouvez recevoir un e-mail qui semble provenir d’une source légitime, mais qui contient des pièces jointes ou des liens malveillants. L'ouverture de ces pièces jointes ou le clic sur ces liens peuvent déclencher le téléchargement et l'exécution d'un ransomware sur votre ordinateur.
- Sites Web malveillants : la visite de sites Web malveillants ou compromis peut exposer votre système à des ransomwares. Ces sites Web peuvent exploiter les vulnérabilités de votre navigateur Web ou de vos plugins pour télécharger et exécuter le ransomware.
- Publicité malveillante : les publicités en ligne peuvent être utilisées pour distribuer des ransomwares. Les cybercriminels peuvent placer des publicités malveillantes sur des sites Web légitimes et si vous cliquez dessus, vous pourriez par inadvertance télécharger un ransomware.
- Téléchargements au volant : certains sites Web sont conçus pour télécharger automatiquement des fichiers sur votre ordinateur sans votre consentement. Ces téléchargements au volant peuvent installer des ransomwares si votre système n'est pas correctement protégé.
- Vulnérabilités logicielles : les logiciels obsolètes ou non corrigés peuvent présenter des vulnérabilités de sécurité que les ransomwares peuvent exploiter. Il est essentiel de maintenir à jour votre système d'exploitation, vos applications et vos logiciels de sécurité.
- Attaques RDP (Remote Desktop Protocol) : les cybercriminels peuvent exploiter des informations d'identification RDP faibles ou par défaut pour accéder à votre ordinateur à distance. Une fois à l’intérieur, ils peuvent déployer un ransomware.
- Pièces jointes malveillantes : les ransomwares peuvent être diffusés via des pièces jointes malveillantes, telles que des documents Microsoft Office infectés ou des fichiers exécutables. Ces pièces jointes peuvent exploiter des vulnérabilités logicielles ou vous inciter à les exécuter.