Keylock Ransomware utilise une longue note de rançon

ransomware

Nos chercheurs ont identifié Keylock comme un type de programme ransomware lors d’un examen régulier des nouveaux fichiers soumis. Le ransomware fonctionne en cryptant les fichiers puis en exigeant un paiement pour leur décryptage.

Sur notre système de test, Keylock a crypté les fichiers et ajouté une extension « .keylock » à leurs noms de fichiers. Par exemple, un fichier initialement nommé « 1.jpg » est devenu « 1.jpg.keylock », « 2.png » s'est transformé en « 2.png.keylock », et ainsi de suite pour tous les fichiers concernés.

Une fois le processus de cryptage terminé, une demande de rançon portant le titre « README-id-[username].txt » a été générée. Keylock a également modifié le fond d'écran du bureau.

Le fond d'écran fourni par Keylock guide la victime vers le fichier texte. La demande de rançon contenue dans ce fichier explique que les fichiers inaccessibles ont été cryptés et suggère que les données de la victime ont été récupérées.

Pour récupérer les données, la victime doit obtenir la clé de déchiffrement unique détenue par les attaquants. L’obtention des outils de décryptage nécessite le paiement d’une rançon non spécifiée en crypto-monnaie Bitcoin. La victime dispose de 72 heures pour contacter les cybercriminels ; à défaut, les données volées de l’entreprise seront exposées ou vendues.

Avant d'effectuer un paiement, la victime a la possibilité de tester le processus de décryptage en envoyant jusqu'à trois fichiers cryptés aux attaquants. Ces fichiers ne doivent pas dépasser 2 Mo et ne doivent pas contenir d’informations précieuses.

Le message met également en garde contre le fait de renommer, modifier ou supprimer les fichiers cryptés, de tenter un décryptage manuel ou d'utiliser un logiciel de récupération ou des outils antivirus tiers, car ces actions pourraient entraîner une perte permanente de données.

La note de rançon Keylock menace une fuite 72 heures après l’attaque

Le texte intégral de la demande de rançon Keylock se lit comme suit :

VOS FICHIERS SONT CHIFFRÉS

Vos fichiers ont été cryptés avec des algorithmes de cryptage puissants et modifiés et portent désormais l'extension « .keylock » !
La structure du fichier n'a pas été endommagée. Ne vous inquiétez pas, votre clé de cryptage unique est stockée en toute sécurité sur notre serveur et vos données peuvent être décryptées rapidement et en toute sécurité.
Nous garantissons que vous pouvez récupérer facilement toutes vos données.
Nous vous donnons des instructions complètes. Et vous aider jusqu'à ce que le processus de décryptage soit complètement terminé.

Nous pouvons prouver que nous pouvons décrypter toutes vos données. Veuillez simplement nous envoyer 3 fichiers cryptés de petite taille (~ 2 Mo) sans importance, qui sont stockés de manière aléatoire sur votre serveur. Joignez également votre README-id.txt laissé par nos soins dans chaque dossier.
Nous décrypterons ces fichiers et vous les enverrons comme preuve. Veuillez noter que les fichiers destinés au test de décryptage gratuit ne doivent pas contenir d'informations précieuses.

Si vous n'entamez pas un dialogue avec nous dans les 72 heures, nous serons obligés de publier vos fichiers dans le domaine public. Vos clients et partenaires seront informés de la fuite de données.
De cette façon, votre réputation sera ruinée. Si vous ne réagissez pas, nous serons obligés de vendre les informations les plus importantes telles que les bases de données et les données personnelles aux parties intéressées afin de générer des bénéfices.
C'est juste une entreprise.
Nous ne nous soucions absolument pas de vous et de vos offres, sauf pour obtenir des avantages.
Si nous ne faisons pas notre travail et nos obligations, personne ne coopérera avec nous. Ce n'est pas dans notre intérêt.

Si vous souhaitez décrypter vos fichiers, vous devrez payer en Bitcoins.
Si vous souhaitez résoudre cette situation, joignez en lettre ce fichier README-id.txt et écrivez à TOUTES ces 2 adresses email :

trousseau@onionmail.org
keybranch@mailfence.com

Vous pouvez également nous envoyer un message sur Telegram : hxxps://t.me/key_chain

IMPORTANT!
Nous vous recommandons de nous contacter directement pour éviter de payer trop cher les agents. Vos données sont cryptées et seuls NOUS AVONS la clé de décryptage. Pour décrypter vos données, vous n'avez besoin que d'une heure, pas plus d'une heure après le paiement.
Nous demandons d'envoyer votre message à TOUTES nos 2 adresses e-mail et Telegram, car pour diverses raisons, votre e-mail peut ne pas être livré.
Notre message peut être reconnu comme spam, alors assurez-vous de vérifier le dossier spam.
Si nous ne vous répondons pas dans les 24 heures, écrivez-nous depuis une autre adresse email.
Ne perdez pas de temps, cela ne fera que causer des dommages supplémentaires à votre entreprise.
Veuillez ne pas renommer et essayer de décrypter les fichiers vous-même. Nous ne pourrons pas vous aider si les fichiers sont modifiés.
Si vous essayez d'utiliser un logiciel tiers pour restaurer vos données ou des solutions antivirus, veuillez effectuer une sauvegarde de tous les fichiers cryptés.
Si vous supprimez des fichiers cryptés de l'ordinateur actuel, vous ne pourrez peut-être pas les déchiffrer.

Pourquoi les acteurs du ransomware utilisent-ils des menaces de fuite de données ?

Les acteurs du ransomware utilisent les menaces de fuite de données pour plusieurs raisons :

  • Effet de levier accru : la menace de fuite de données sensibles donne aux opérateurs de ransomwares un effet de levier accru sur leurs victimes. Cela ajoute une couche de pression supplémentaire en donnant à la victime le sentiment que non seulement ses fichiers sont cryptés et inaccessibles, mais que ses informations privées et potentiellement dommageables pourraient également être exposées au public.
  • Paiements de rançons plus élevés : les victimes sont plus susceptibles de payer un montant de rançon plus élevé lorsqu'elles estiment que les données volées sont sensibles, confidentielles ou précieuses. La crainte d’une atteinte à leur réputation, de conséquences juridiques ou d’une perte financière peut pousser les victimes à répondre aux demandes de rançon.
  • Dommages à la réputation : les fuites de données peuvent gravement nuire à la réputation d'une organisation. Si des informations sensibles ou privées sont exposées, cela peut éroder la confiance entre les clients, les partenaires et les parties prenantes. Les entreprises souhaitent souvent à tout prix éviter les fuites de données pour protéger leur image.
  • Problèmes juridiques et de conformité : les menaces de fuite de données peuvent créer d'importants problèmes juridiques et de conformité pour les organisations. Selon la nature des données volées, les organisations peuvent être soumises à des amendes réglementaires et à des poursuites judiciaires. Payer la rançon peut sembler un moyen d’éviter ces conséquences potentielles.
  • Honte publique : certains groupes de ransomwares utilisent les menaces de fuite de données comme tactique pour faire honte publiquement à leurs victimes. Ils peuvent divulguer une partie des données volées ou fournir la preuve de la violation, ce qui peut entraîner une attention médiatique négative et un embarras public pour l'organisation victime.
  • Pression pour payer rapidement : la menace de fuite de données s'accompagne souvent de délais serrés, obligeant les victimes à prendre des décisions rapides. Cette urgence peut conduire à des paiements de rançons précipités pour empêcher la divulgation des données.

Par Zaib
October 19, 2023
Ransomware
Français
October 19, 2023
Ransomware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.