GoTiS Ransomware basé sur Xorist

Notre équipe de recherche a détecté le ransomware GoTiS lors d'un examen de routine des nouveaux fichiers soumis. Ce logiciel malveillant est affilié à la famille de ransomwares Xorist et fonctionne en cryptant les données, exigeant des rançons pour le décryptage.

Dans notre environnement de test, GoTiS a crypté les fichiers et ajouté une extension « .GoTiS » à leurs noms de fichiers. Par exemple, un fichier nommé « 1.jpg » s'est transformé en « 1.jpg.GoTiS » et « 2.png » est devenu « 2.png.GoTiS », et ainsi de suite.

Une fois le processus de cryptage terminé, GoTiS a généré des notes de rançon identiques affichées sur le fond d'écran du bureau, dans une fenêtre contextuelle et dans un fichier texte nommé « COMMENT DÉCRYPTER FILES.txt ». La demande de rançon informe la victime que ses fichiers sont désormais cryptés et que la clé de décryptage et le logiciel peuvent être obtenus pour un coût de 0,04 BTC (monnaie crypto-monnaie Bitcoin). Au moment d’écrire ces lignes, cette rançon est évaluée à environ 1 400 USD, sachant que les taux de change sont soumis à des fluctuations constantes. Suite au transfert de Bitcoins, la victime est invitée à contacter les attaquants.

La note de rançon GoTiS exige 0,04 BTC

Le texte intégral de la demande de rançon GoTiS se lit comme suit :

Hello,

All your files have been encrypted.
To decrypt them, you must make a payment of 0.04 bitcoins.

Ensure that you send the 0.04 bitcoins to the following address:
(alphanumeric string)

If you don't own bitcoin, you can easily purchase it from the following sites:

www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

For a more extensive list, please visit:
hxxps://bitcoin.org/en/exchanges

Once the bitcoin has been sent, contact me at either of these email addresses:
gotis1@skiff.com
gotis@onionmail.org
Use this subject: GOTIS004-ID-PCIS05301004
For a good communication experience,
kindly create an account on skiff.com and get in touch with us.

Une fois le paiement confirmé, vous recevrez le décrypteur et les clés de décryptage.
De plus, vous recevrez des informations sur la manière de vous protéger contre de futures attaques de ransomwares, y compris des détails sur la faille de sécurité par laquelle nous avons obtenu l'accès.

Comment pouvez-vous protéger vos données contre les attaques de ransomwares ?

La protection de vos données contre les attaques de ransomwares nécessite une combinaison de mesures proactives et de bonnes pratiques. Voici quelques étapes essentielles pour vous aider à protéger vos données :

Sauvegardes régulières :
Sauvegardez régulièrement vos données importantes. Des sauvegardes automatisées et fréquentes garantissent que vous disposez de copies récentes et non corrompues de vos fichiers.
Stockez les sauvegardes dans un emplacement qui n'est pas directement accessible depuis votre ordinateur ou votre réseau. Le stockage dans le cloud ou les sauvegardes hors ligne sont recommandés.

Logiciel de mise à jour :
Gardez votre système d'exploitation, votre logiciel antivirus et toutes vos applications à jour. L'application régulière de correctifs de sécurité permet de se protéger contre les vulnérabilités connues.

Logiciel de sécurité :
Installez un logiciel antivirus et anti-malware réputé. Assurez-vous qu’il offre une protection en temps réel et mettez régulièrement à jour ses définitions de virus.

Sécurité du courrier électronique :
Utilisez des solutions de filtrage des e-mails pour bloquer ou mettre en quarantaine les e-mails suspects. Ces solutions peuvent aider à identifier et à prévenir les e-mails de phishing susceptibles de contenir des ransomwares.