Le ransomware infecté (MedusaLocker) verrouillera les systèmes des victimes

ransomware

En analysant de nouveaux échantillons de logiciels malveillants, les chercheurs ont découvert une variante de ransomware de la famille MedusaLocker, qu'ils ont baptisée « Infecté ». Ce ransomware fonctionne en cryptant les fichiers et en ajoutant l'extension « .infected » à leurs noms. De plus, il laisse une note de rançon intitulée « HOW_TO_BACK_FILES.html ».

Pour illustrer comment Infected modifie les noms de fichiers lorsqu'il les chiffre, par exemple, « 1.jpg » devient « 1.jpg.infected » et « 2.png » est transformé en « 2.png.infected ».

La demande de rançon indique que les fichiers cruciaux de la victime ont été cryptés. Il souligne que ces fichiers, bien que verrouillés, restent sécurisés mais ont été cryptés à l'aide d'une combinaison de méthodes RSA et AES. La note met explicitement en garde contre toute tentative de récupération de ces fichiers à l'aide d'un logiciel tiers, car de telles tentatives entraîneraient une corruption permanente. Il déconseille également de modifier ou de renommer les fichiers cryptés.

La note affirme que seuls les opérateurs de ransomware peuvent résoudre le problème, précisant qu'aucun logiciel tiers ne peut aider dans cette affaire. De plus, il mentionne la collecte de données hautement confidentielles ou personnelles, qui sont stockées sur un serveur privé. Si la victime choisit de ne pas payer la rançon, ces données seront soit rendues publiques, soit vendues à un revendeur, devenant ainsi accessibles au public.

La note fournit les coordonnées pour contacter les opérateurs, y compris une URL basée sur Tor pour la communication. Il propose des instructions sur la façon d'accéder au réseau Tor et de discuter avec eux. De plus, il fournit des adresses e-mail (ithelp02@securitymy.name et ithelp02@yousheltered.com) pour la communication.

Le montant de la rançon est susceptible d'augmenter si la victime n'établit pas de contact avec les opérateurs dans les 72 heures, ce qui ajoute un aspect sensible au facteur temps à la situation.

L’infecté menace d’augmenter la rançon dans trois jours

Le texte intégral de la demande de rançon infectée se lit comme suit :

VOTRE IDENTIFIANT PERSONNEL :

VOTRE RÉSEAU D'ENTREPRISE A ÉTÉ PÉNÉTRÉ
Tous vos fichiers importants ont été cryptés !

Vos fichiers sont en sécurité ! Seulement modifié. (RSA+AES)

TOUTE TENTATIVE DE RESTAURATION DE VOS FICHIERS AVEC UN LOGICIEL TIERS
LE CORROMPURA DE MANIÈRE PERMANENTE.
NE MODIFIEZ PAS LES FICHIERS CRYPTÉS.
NE RENOMMEZ PAS LES FICHIERS CRYPTÉS.

Aucun logiciel disponible sur Internet ne peut vous aider. Nous sommes les seuls à pouvoir
résolvez votre problème.

Nous avons collecté des données hautement confidentielles/personnelles. Ces données sont actuellement stockées sur
un serveur privé. Ce serveur sera immédiatement détruit après votre paiement.
Si vous décidez de ne pas payer, nous divulguerons vos données au public ou au revendeur.
Vous pouvez donc vous attendre à ce que vos données soient accessibles au public dans un avenir proche.

Nous recherchons uniquement de l'argent et notre objectif n'est pas de nuire à votre réputation ou d'empêcher
votre entreprise de fonctionner.

Vous pourrez nous envoyer 2-3 fichiers non importants et nous les décrypterons gratuitement
pour prouver que nous sommes en mesure de restituer vos fichiers.

Contactez-nous pour connaître le prix et obtenez un logiciel de décryptage.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Notez que ce serveur est disponible via le navigateur Tor uniquement

Suivez les instructions pour ouvrir le lien :

  1. Tapez l'adresse "hxxps://www.torproject.org" dans votre navigateur Internet. Il ouvre le site Tor.
  2. Appuyez sur « Télécharger Tor », puis appuyez sur « Télécharger Tor Browser Bundle », installez-le et exécutez-le.
  3. Vous disposez désormais du navigateur Tor. Dans le navigateur Tor, ouvrez qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
  4. Démarrez une discussion et suivez les instructions supplémentaires.
    Si vous ne pouvez pas utiliser le lien ci-dessus, utilisez l'e-mail :
    ithelp02@securitymy.name
    ithelp02@yousheltered.com

Pour nous contacter, créez un nouveau compte email gratuit sur le site : protonmail.com
SI VOUS NE NOUS CONTACTEZ PAS DANS LES 72 HEURES, LE PRIX SERA PLUS ÉLEVÉ.

Comment un ransomware similaire à Infected peut-il s’installer sur votre système ?

Les ransomwares comme Infected peuvent infiltrer votre système par divers moyens. Voici quelques moyens courants par lesquels les ransomwares peuvent s’introduire sur votre ordinateur :

  • E-mails de phishing : les e-mails de phishing sont l’une des méthodes de transmission les plus courantes des ransomwares. Les cybercriminels envoient des e-mails trompeurs qui semblent provenir d'une source légitime, mais qui contiennent des pièces jointes ou des liens malveillants. Lorsque vous ouvrez la pièce jointe ou cliquez sur le lien, il peut télécharger et exécuter le ransomware sur votre système.
  • Sites Web malveillants : la visite de sites Web malveillants ou compromis peut également entraîner des infections par ransomware. Ces sites Web peuvent exploiter les vulnérabilités de votre navigateur Web ou de vos plug-ins pour télécharger et installer des ransomwares à votre insu et sans votre consentement.
  • Téléchargements drive-by : les ransomwares peuvent être diffusés via des « téléchargements drive-by » où les logiciels malveillants sont automatiquement téléchargés et installés sur votre système lorsque vous visitez un site Web compromis ou malveillant. Cela se produit généralement sans aucune interaction de l'utilisateur.
  • Publicité malveillante : les cybercriminels peuvent utiliser des publicités malveillantes (malvertising) sur des sites Web légitimes pour distribuer des ransomwares. Cliquer sur ces publicités peut déclencher le téléchargement et l’installation de ransomwares.
  • Vulnérabilités logicielles : les logiciels obsolètes ou non corrigés peuvent être exploités par des ransomwares. Si votre système d'exploitation ou vos applications présentent des vulnérabilités connues qui n'ont pas été corrigées, les attaquants peuvent les exploiter pour accéder à votre système et déployer un ransomware.
  • Téléchargements non fiables : le téléchargement de logiciels, de fichiers ou de torrents à partir de sources non fiables ou non officielles peut être risqué. Certains téléchargements peuvent être associés à un ransomware ou à d'autres logiciels malveillants. Il est donc important de télécharger uniquement à partir de sources fiables.
  • Clés USB et périphériques externes : Les ransomwares peuvent se propager via des clés USB ou des périphériques externes infectés. Si vous connectez un appareil contenant un ransomware à votre ordinateur, il peut rapidement infecter votre système.

Par Zaib
October 6, 2023
Ransomware
Français
October 6, 2023
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.