Qu'est-ce que le rançongiciel KoRyA ?

KoRyA est un type de ransomware qui appartient à la famille Xorist. Il a été découvert par des chercheurs de logiciels malveillants lors de l'examen d'échantillons soumis à des bases de données de menaces en ligne. KoRyA crypte les données et ajoute l'extension ".KoRyA" aux noms de fichiers, modifie le fond d'écran du bureau, crée un fichier texte intitulé "COMMENT DECRYPTER LES FICHIERS.txt" et affiche un message d'erreur.

La note de rançon dans le fond d'écran, le fichier texte et le message d'erreur indiquent tous que les victimes doivent payer 0,06 BTC (crypto-monnaie Bitcoin) à l'adresse de portefeuille fournie, puis envoyer un e-mail à korya@tuta.io pour les outils de décryptage. Les victimes ont deux jours pour effectuer le paiement avant que leurs clés de déchiffrement ne soient supprimées.

Lorsque KoRyA est actif sur un système, il modifie les noms de fichiers en ajoutant l'extension ".KoRyA" à la fin de chacun ; par exemple, "1.jpg" deviendrait "1.jpg.KoRyA", "2.png" deviendrait "2.png.KoRyA", et ainsi de suite. De plus, il changera le fond d'écran du bureau avec une note de rançon exigeant le paiement de 0,06 BTC afin de recevoir des outils de décryptage de korya@tuta .io.

La note de rançon complète affichée par KoRyA se lit comme suit :

ATTENTION!

Tous vos fichiers ont été cryptés

Et leur décryptage vous coûtera 0,06 bitcoin.

Pour démarrer le processus de décryptage, suivez les étapes ci-dessous

Étape 1) Assurez-vous d'envoyer 0,06 bitcoin à ce portefeuille :

bc1q73lm30rgv6h9wy42y88t0r8prjh9l9pzpvvm9c

Étape 2) Contactez-moi à cette adresse e-mail : korya@tuta.io

Avec ce sujet : -

Une fois le paiement confirmé,

vous recevrez le décrypteur et les clés de décryptage !

Les autres informations:

Si vous ne possédez pas de bitcoin, vous pouvez l'acheter ici très facilement

www.coinmama.com

www.bitpanda.com

www.localbitcoins.com

www.paxful.com

Vous pouvez trouver une plus grande liste ici:

hxxps://bitcoin.org/en/exchanges

Si le paiement n'est pas effectué dans les 2 jours, je considérerai que vous ne souhaitez pas décrypter vos fichiers,

et donc les clés générées pour votre PC seront définitivement supprimées.

Payer les acteurs du ransomware n'est pas une bonne idée pour plusieurs raisons. Premièrement, il n'y a aucune garantie que les attaquants fourniront réellement les outils de décryptage après le paiement. Même s'ils le font, rien ne garantit que les outils fonctionneront comme promis. De plus, payer la rançon ne fait qu'encourager les attaquants à poursuivre leurs activités malveillantes et à cibler davantage de victimes à l'avenir.

De plus, il envoie un message aux autres cybercriminels selon lequel les attaques de rançongiciels sont rentables et peuvent être utilisées comme un moyen efficace de gagner de l'argent. Enfin, payer une rançon peut également être illégal selon l'endroit où vous vivez ou l'endroit où se trouvent les attaquants. Pour ces raisons, il est préférable d'éviter de payer les acteurs du ransomware et de se concentrer plutôt sur la prévention de telles attaques en prenant des mesures de sécurité appropriées.