Itrz Ransomware chiffrera les systèmes des victimes

En examinant de nouveaux échantillons de fichiers malveillants, nous sommes tombés sur une variante de ransomware connue sous le nom d'Itrz. Ce ransomware crypte les fichiers et modifie leurs noms en ajoutant l'extension « .itrz ». De plus, Itrz génère une demande de rançon, généralement trouvée dans un fichier nommé « _readme.txt ».

Itrz modifie les noms de fichiers de la manière suivante : il change un fichier tel que "1.jpg" en "1.jpg.itrz", "2.png" en "2.png.itrz", etc. Il est important de noter qu'Itrz est lié à la famille des ransomwares Djvu et que les cybercriminels peuvent le distribuer en conjonction avec des logiciels malveillants voleurs de données comme RedLine ou Vidar.

Dans la demande de rançon, les attaquants affirment avoir utilisé une méthode de cryptage robuste pour verrouiller les fichiers de la victime, notamment des photos, des bases de données, des documents et d'autres données cruciales. Pour restaurer l'accès normal aux fichiers, la victime devrait payer pour un outil de décryptage et une clé unique, qui déverrouillera les données cryptées.

Les attaquants proposent un essai de décryptage gratuit en permettant à la victime d'envoyer l'un de ses fichiers cryptés depuis son ordinateur, qui sera décrypté sans frais. Ils précisent cependant que cette offre de décryptage gratuite ne s’applique qu’à un seul fichier et qu’elle ne doit pas contenir d’informations précieuses.

La demande de rançon indique que le coût initial pour obtenir la clé privée et le logiciel de décryptage est de 980 $. Néanmoins, il souligne qu'une réduction de 50 % jusqu'à 490 $ en rançon est disponible si la victime la contacte dans les 3 premiers jours suivant l'infection. La note souligne que le défaut de paiement rendra la récupération des données impossible.

Pour acquérir le logiciel de décryptage, la victime est invitée à contacter les cybercriminels via les adresses e-mail suivantes : support@freshmail.top ou datarestorehelp@airmail.cc.

Itrz Ransom Note fournit des e-mails pour les contacts

Le texte complet de la demande de rançon Itrz se lit comme suit :

ATTENTION!

Ne vous inquiétez pas, vous pouvez restituer tous vos fichiers !
Tous vos fichiers comme les images, bases de données, documents et autres fichiers importants sont cryptés avec le cryptage le plus puissant et une clé unique.
La seule méthode de récupération de fichiers consiste à acheter un outil de décryptage et une clé unique pour vous.
Ce logiciel décryptera tous vos fichiers cryptés.
Quelles garanties avez-vous ?
Vous pouvez envoyer un de vos fichiers cryptés depuis votre PC et nous le décrypterons gratuitement.
Mais nous ne pouvons décrypter qu’un seul fichier gratuitement. Le fichier ne doit pas contenir d'informations précieuses.
Vous pouvez obtenir et consulter l'outil de décryptage de présentation vidéo :
hxxps://we.tl/t-cGZhpvUKxk
Le prix de la clé privée et du logiciel de décryptage est de 980 $.
Remise de 50 % disponible si vous nous contactez dans les 72 premières heures, le prix pour vous est de 490 $.
Veuillez noter que vous ne restaurerez jamais vos données sans paiement.
Vérifiez votre dossier "Spam" ou "Indésirable" si vous ne recevez pas de réponse dans un délai de 6 heures.

Pour obtenir ce logiciel, vous devez écrire sur notre e-mail :
support@freshmail.top

Réservez votre adresse e-mail pour nous contacter :
datarestorehelp@airmail.cc

Votre identifiant personnel :

Comment les ransomwares comme Itrz sont-ils distribués ?

Les ransomwares comme Itrz peuvent être distribués via diverses méthodes, notamment :

• E-mails de phishing : l’une des méthodes de distribution les plus courantes est l’e-mail de phishing. Les cybercriminels envoient des e-mails apparemment légitimes contenant des pièces jointes ou des liens malveillants. Lorsque le destinataire interagit avec ces pièces jointes ou liens, le ransomware est téléchargé et exécuté sur son système.
• Sites Web malveillants : les cybercriminels peuvent créer des sites Web proposant des téléchargements attrayants, tels que des logiciels piratés ou des applications gratuites. Les utilisateurs qui visitent ces sites et téléchargent le contenu proposé peuvent, sans le savoir, installer des ransomwares sur leurs ordinateurs.
• Téléchargements drive-by : dans certains cas, les ransomwares peuvent être distribués via des téléchargements drive-by. Lorsqu'un utilisateur visite un site Web compromis ou malveillant, le ransomware est automatiquement téléchargé et exécuté sur son système à son insu ou sans son consentement.
• Exploitation des vulnérabilités : les ransomwares peuvent exploiter les vulnérabilités logicielles des systèmes d'exploitation ou des applications. Si le système d'un utilisateur n'est pas à jour avec les correctifs de sécurité, il peut être vulnérable aux attaques de ransomware.
• Publicité malveillante : la publicité malveillante, ou malvertising, implique l'injection de code malveillant dans des publicités en ligne. Lorsque les utilisateurs cliquent sur ces publicités, ils peuvent télécharger par inadvertance des ransomwares sur leurs appareils.
• Partage de fichiers peer-to-peer (P2P) : les ransomwares peuvent être associés à des logiciels piratés ou piratés que les utilisateurs téléchargent à partir de réseaux de partage de fichiers P2P. Il s'agit d'un moyen courant d'infecter les utilisateurs qui cherchent à obtenir des logiciels illégalement.
• Attaques RDP (Remote Desktop Protocol) : les attaquants peuvent exploiter des informations d'identification RDP faibles ou par défaut pour accéder à un système, à partir duquel ils peuvent installer manuellement un ransomware ou utiliser des outils automatisés pour le propager.
• Malware Droppers : Certains ransomwares sont diffusés par des droppers de logiciels malveillants. Il s’agit de logiciels malveillants distincts initialement installés sur un système et qui, à leur tour, téléchargent et exécutent le ransomware.