Un autre ajout à la famille DJVU : Qual Ransomware
Table of Contents
Qu’est-ce que Qual Ransomware ?
Qual Ransomware est une variante de logiciel malveillant identifiée comme faisant partie de la famille des ransomwares Djvu. Qual Ransomware présente les caractéristiques typiques de ce groupe notoire de cybermenaces. Lorsqu'il est activé, il crypte les fichiers de la victime, en les renommant en ajoutant une extension « .qual ». Par exemple, un fichier initialement nommé « image.png » devient « image.png.qual », et ainsi de suite. Une fois le processus de cryptage terminé, une demande de rançon est déposée dans un fichier texte nommé « _readme.txt ».
La note de rançon et ses exigences
La demande de rançon laissée par Qual Ransomware informe les victimes que leurs fichiers essentiels, notamment les bases de données, les documents et les images, ont été cryptés. Pour récupérer les données cryptées, les victimes sont invitées à acheter un programme de décryptage et une clé auprès des attaquants. Les victimes sont autorisées à tester le processus de décryptage en envoyant un seul fichier crypté aux cybercriminels. Les attaquants exigent 999 $ pour les outils de décryptage, mais s'ils sont contactés dans les 72 heures, la rançon est réduite à 499 $. La note met explicitement en garde contre le recours à l’aide de tiers.
Voici le texte de la note :
Comment fonctionnent les programmes Ransomware
Les programmes de ransomware comme Qual visent principalement à extorquer de l’argent aux victimes en cryptant leurs données et en exigeant une rançon pour leur libération. Appartenant à la famille Djvu , Qual Ransomware utilise des chaînes d'infection à plusieurs étapes pour infiltrer les appareils. Il utilise plusieurs codes shell avant la charge utile finale, qui correspond à l’étape de cryptage des données. Ces programmes ransomware utilisent également des mécanismes tels que le bouclage pour étendre leur durée d'exécution et la résolution dynamique de l'API pour accéder aux outils critiques. Une autre technique, le processus creux, permet au malware de se déguiser en processus inoffensif, réduisant ainsi les chances de détection.
Le défi du décryptage
Le décryptage des fichiers affectés par un ransomware comme Qual sans la clé de décryptage des attaquants est généralement impossible. Le décryptage n'a lieu que dans de rares cas impliquant des programmes ransomwares gravement défectueux, sans l'intervention des attaquants. Même dans ce cas, le paiement de la rançon ne garantit pas la récupération des fichiers, car les cybercriminels ne parviennent souvent pas à fournir les clés de décryptage ou les logiciels promis, même après le paiement. Les experts déconseillent fortement de payer la rançon, car cela soutient et encourage les activités criminelles.
Prévenir d'autres dommages
Pour empêcher un cryptage supplémentaire des données par Qual Ransomware, il est crucial de supprimer le malware du système d'exploitation. Cependant, la suppression du ransomware ne restaurera pas les fichiers déjà cryptés. La seule solution disponible est de les récupérer à partir d’une sauvegarde, à condition qu’elle ait été réalisée avant l’infection et stockée séparément du système infecté. Conserver des sauvegardes dans plusieurs emplacements sécurisés, tels que des serveurs distants ou des périphériques de stockage débranchés, est la meilleure pratique pour garantir la sécurité des données.
Méthodes courantes de distribution de ransomwares
Les ransomwares comme Qual se propagent principalement via des techniques de phishing et d'ingénierie sociale. Il se fait souvent passer pour ou est associé à des logiciels ou des fichiers multimédias légitimes. Ces fichiers se présentent sous différents formats, notamment des archives (ZIP, RAR), des exécutables (.exe, .run), des documents (PDF, Microsoft Office, Microsoft OneNote) et JavaScript. Les méthodes de distribution courantes incluent les chevaux de Troie de type porte dérobée ou chargeur, les téléchargements inopinés, les pièces jointes ou liens malveillants dans les courriers indésirables, la publicité malveillante, les escroqueries en ligne, les canaux de téléchargement douteux, les outils d'activation de logiciels illégaux et les fausses mises à jour.
Vigilance et pratiques sécuritaires
Pour se protéger contre les ransomwares, il est essentiel de faire preuve de prudence lors de la navigation en ligne et lors de la gestion des e-mails et messages entrants. Les courriers suspects ou non pertinents, en particulier ceux contenant des pièces jointes ou des liens, doivent être évités, car ils peuvent être dangereux ou infectieux. Tous les téléchargements doivent être effectués à partir de sources officielles et vérifiées, et les programmes doivent être activés et mis à jour à l'aide d'outils légitimes. L'acquisition de logiciels auprès de sources tierces augmente le risque d'infection par des logiciels malveillants.
Dernières pensées
Le ransomware Qual est une menace importante qui met en évidence les dangers posés par la famille de ransomware Djvu. Il crypte les données critiques et exige une rançon, plaçant les victimes dans une position difficile. Cependant, il n’est pas conseillé de payer la rançon en raison du manque de fiabilité des cybercriminels. La prévention par la vigilance, des pratiques de navigation sécurisées et des sauvegardes régulières stockées dans des emplacements sécurisés constitue la meilleure défense contre de telles menaces de ransomware.
