Kmrox Ransomware est un membre de la famille Phobos

ransomware

Lors de l'examen des nouveaux échantillons de fichiers soumis, nos chercheurs sont tombés sur une autre variante du ransomware Phobos appelée Kmrox. Ce type de malware appartient à la catégorie des ransomwares, conçus pour crypter les données et exiger un paiement pour leur décryptage.

Sur notre système de test, Kmrox a codé les fichiers et modifié leurs noms. Les noms de fichiers originaux ont été complétés par une identification unique liée à la victime, l'adresse e-mail des cybercriminels et une extension « .kmrox ». Par exemple, un fichier initialement étiqueté comme « 1.jpg » est apparu comme « 1.jpg.id[9ECFA84E-3489].[exezez@blaze420.it].kmrox », et ainsi de suite. Suite à cela, des demandes de rançon ont été générées via une fenêtre contextuelle (« info.hta ») et un fichier texte (« info.txt »).

Les messages de rançon de Kmrox précisent que les fichiers sont inaccessibles en raison du cryptage. Les notes indiquent que le seul moyen de récupérer les fichiers est d'acheter la clé de décryptage et le logiciel auprès des cybercriminels. Le paiement est requis sous forme de crypto-monnaie Bitcoin, bien que le montant exact ne soit pas mentionné dans ces messages – il est seulement suggéré que le paiement pourrait être influencé par la rapidité avec laquelle le contact est établi.

La victime a également la possibilité de subir un test de décryptage gratuit (dans le cadre de paramètres spécifiques). Les notes se terminent par des avertissements contre la modification des données cryptées et la recherche de l'aide de tiers.

Kmrox utilise une longue note de rançon

Le texte complet de la demande de rançon Kmrox se lit comme suit :

Tous vos fichiers ont été cryptés !

Pour le moment, il n'existe aucun moyen de décrypter les données, sauf de nous demander un décrypteur et une clé avec laquelle vous récupérerez toutes vos données.
Si vous souhaitez les restaurer, écrivez-nous par email : exezez@blaze420.it
Écrivez cet identifiant dans le titre de votre message -
Pour un retour rapide et pratique, écrivez à l'opérateur en ligne dans la messagerie Telegram : @exezaz
(Soyez prudent lorsque vous saisissez le nom du compte Telegram, il doit être exactement le même que ci-dessus, méfiez-vous des faux comptes.)
De plus, à partir de certains services de messagerie, votre lettre peut ne pas parvenir ou tomber dans le spam, donc pour augmenter la probabilité de recevoir une réponse rapide, dupliquez également vos lettres sur nos adresses e-mail disponibles : helze@cyberfear.com et exezaz@msgden.com
Le paiement du décryptage s'effectue en bitcoins. Afin de connaître le prix, écrivez aux contacts ci-dessus. Plus tôt vous nous contacterez, plus le prix sera bas. Après paiement, nous vous enverrons un outil qui décryptera tous vos fichiers.

Décryptage gratuit en garantie
Avant de payer, vous pouvez nous envoyer jusqu'à 3 fichiers pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 4 Mo (non archivés) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, grandes feuilles Excel, etc.)

Comment obtenir des Bitcoins
Vous pouvez acheter du Bitcoin n'importe où qui vous convient, un guide du débutant est ici :
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Pour obtenir une aide garantie pour décrypter vos fichiers, veuillez contacter uniquement les contacts répertoriés dans cette note, car il existe actuellement de nombreux escrocs qui,
sous prétexte qu'ils peuvent décrypter vos données, demandez un décryptage gratuit par notre intermédiaire et faites-le passer pour une démonstration qu'ils peuvent décrypter vos fichiers.
N'oubliez pas que la clé de décryptage des fichiers est individuelle dans chaque cas individuel, vous ne pourrez donc pas décrypter vos fichiers vous-même à l'aide d'un logiciel tiers, cela ne fera que gâcher vos fichiers.
Si vous souhaitez communiquer via un intermédiaire, vérifiez au préalable le prix auprès de notre opérateur, car les intermédiaires finissent souvent par obtenir le prix réel. !!! Lorsque vous contactez des tiers,
nous ne garantissons pas le décryptage de vos fichiers !!!
Aussi, pour éviter des problèmes de décryptage, ne renommez pas vos fichiers.

Qu'est-ce que la famille de clones Phobos Ransomware ?

La famille des ransomwares Phobos se compose d’un groupe de variantes de ransomwares partageant des caractéristiques et des méthodes de fonctionnement similaires. Ces variantes sont souvent appelées « clones » car on pense qu'elles sont dérivées du même code source original ou partagent un cadre commun. La famille de ransomwares Phobos est connue pour crypter les fichiers des victimes et exiger une rançon pour leur décryptage.

Les variantes du ransomware Phobos présentent généralement les caractéristiques suivantes :

  • Cryptage de fichiers : comme la plupart des ransomwares, les variantes de Phobos chiffrent les fichiers des victimes à l'aide d'algorithmes de cryptage puissants, rendant les fichiers inaccessibles sans clé de décryptage.
  • Notes de rançon : le rançongiciel Phobos crée des notes de rançon qui informent les victimes du cryptage et fournissent des instructions sur la façon de payer la rançon pour obtenir la clé de déchiffrement.
  • Contacts par e-mail : les notes de rançon incluent généralement des adresses e-mail que les victimes peuvent utiliser pour contacter les attaquants afin d'obtenir des instructions supplémentaires sur le paiement et le décryptage.
  • Extensions uniques : les variantes de Phobos ajoutent souvent des extensions uniques aux fichiers cryptés, les rendant facilement identifiables. Ces extensions sont généralement une combinaison de caractères ou d'identifiants aléatoires.
  • Paiements Bitcoin : les demandes de rançon sont généralement demandées en cryptomonnaie, en particulier en Bitcoin, en raison de sa nature pseudonyme qui rend son traçage plus difficile.
  • Variabilité des montants des rançons : différentes variantes du ransomware Phobos peuvent avoir des montants de rançon variables, souvent en fonction de facteurs tels que le profil de la victime et la rapidité avec laquelle elle prend contact avec les attaquants.
  • Distribution ciblée : le ransomware Phobos est généralement distribué via des e-mails de phishing, des pièces jointes malveillantes, des kits d'exploitation et d'autres méthodes utilisées par les cybercriminels pour propager des logiciels malveillants.
  • Base de code similaire : les variantes de Phobos partagent des similitudes en termes de code et de comportement, suggérant une source ou un cadre commun que les attaquants ont modifié pour créer des versions différentes.

Il est important de noter que même si les variantes de Phobos partagent des similitudes, elles peuvent également évoluer au fil du temps avec de nouvelles fonctionnalités, tactiques et techniques. Comme pour tout ransomware, la meilleure défense contre Phobos et ses variantes consiste à combiner de solides pratiques de cybersécurité, des sauvegardes régulières des données, la mise à jour des logiciels et le maintien d’une approche prudente concernant les pièces jointes et les liens des e-mails.

Par Zaib
August 29, 2023
Ransomware
Français
August 29, 2023
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.