SNet Ransomware verrouille la plupart des fichiers

Notre équipe a découvert le ransomware SNet lors d'un examen de routine de nouveaux échantillons de logiciels malveillants. Les ransomwares, un type de logiciel malveillant, fonctionnent en cryptant les données puis en exigeant une rançon pour leur décryptage.

Lors de l'exécution d'un échantillon de SNet sur notre système de test, celui-ci a crypté les fichiers et ajouté l'extension « .SNet » à leurs noms de fichiers d'origine. Par exemple, un fichier initialement nommé « 1.jpg » s'est transformé en « 1.jpg.SNet », et le même modèle s'est appliqué à d'autres fichiers verrouillés, tels que « 2.png » devenant « 2.png.SNet ». Suite à ce processus de cryptage, une demande de rançon nommée « DecryptNote.txt » a été générée.

Le message de rançon indiquait que les fichiers avaient été cryptés et révélait également que les données de la victime, notamment des documents et des bases de données, avaient été volées. L’incapacité de contacter les attaquants ou le refus de payer la rançon entraînerait la révélation du contenu exfiltré.

Pour récupérer les fichiers compromis, le paiement d’une rançon serait impératif. Pour vérifier la faisabilité du décryptage, la victime pourrait soumettre deux petits fichiers cryptés aux cybercriminels pour un test.

SNet Ransom Note propose le décryptage de deux fichiers

Le texte complet de la demande de rançon SNet se lit comme suit :

Your Decryption ID: -

Your files are encrypted and We have stored your data on our servers,
including documents, databases, and other files,
and if you don't contact us, we'll extract your sensitive data and leak them.
Trust us, we know what data we should gather.

However, if you want your files returned and your data is secure from leaking,
contact us at the following email addresses:

snetinfo@skiff.com
snetinfo@cyberfear.com

(Remember, if we don't hear from you for a while, we will start leaking data)

What is the guarantee that we won't trick you?

You can send us two random small files in any format,
We will decrypt them for free and return it to you as a guarantee.

Après avoir payé, nous vous enverrons un logiciel de décryptage et effacerons toutes vos données.
Personne ne nous paiera à l'avenir si nous ne vous fournissons pas les décrypteurs
ou si nous ne supprimons pas vos données après réception du paiement.

Nous n’avons aucun objectif politique et n’essayons pas de nuire à votre réputation.
C'est notre affaire. L'argent et notre réputation sont les seules choses qui comptent pour nous.
Nous attaquons des entreprises partout dans le monde et il n’y a jamais eu de victime mécontente après paiement.

Comment un ransomware peut-il infecter votre ordinateur ?

Les ransomwares peuvent infiltrer votre ordinateur par diverses méthodes, exploitant souvent des vulnérabilités ou s'appuyant sur des tactiques trompeuses. Voici les façons courantes par lesquelles les ransomwares peuvent infecter un ordinateur :

E-mails de phishing : les cybercriminels utilisent souvent des e-mails de phishing pour distribuer des ransomwares. Ces e-mails peuvent contenir des pièces jointes ou des liens malveillants qui, lorsqu'ils sont ouverts ou cliqués, exécutent le ransomware sur le système de la victime.

Sites Web et téléchargements malveillants : la visite de sites Web compromis ou malveillants peut exposer votre ordinateur à des ransomwares. Le téléchargement de fichiers ou de logiciels à partir de sources non fiables augmente le risque d'installation par inadvertance d'un ransomware.

Exploitation des vulnérabilités logicielles : les créateurs de ransomwares peuvent profiter des vulnérabilités de sécurité des systèmes d'exploitation ou des applications logicielles. Le fait de ne pas mettre à jour rapidement votre système d’exploitation et vos logiciels augmente le risque d’être victime de ces exploits.

Téléchargements au volant : certains sites Web peuvent télécharger automatiquement des fichiers malveillants sur votre ordinateur à votre insu et sans votre consentement. Ces téléchargements inopinés peuvent être déclenchés simplement en visitant un site Web compromis.

Publicité malveillante : les cybercriminels peuvent utiliser des publicités malveillantes (malvertising) pour diffuser des ransomwares. Cliquer sur des publicités ou des bannières en ligne infectées peut entraîner le téléchargement et l'exécution d'un ransomware sur votre ordinateur.

Attaques du protocole de bureau à distance (RDP) : si votre protocole de bureau à distance n'est pas correctement sécurisé, les attaquants peuvent obtenir un accès non autorisé à votre ordinateur et déployer un ransomware. L’utilisation de mots de passe forts et uniques et l’activation de l’authentification à deux facteurs pour RDP peuvent contribuer à atténuer ce risque.

Clés USB et périphériques externes : Les ransomwares peuvent se propager via des supports amovibles tels que les clés USB. Brancher une clé USB infectée sur votre ordinateur peut introduire un ransomware dans votre système.

Ingénierie sociale : les attaquants peuvent utiliser des techniques d'ingénierie sociale pour inciter les utilisateurs à exécuter un ransomware. Cela peut impliquer de déguiser des fichiers malveillants en fichiers légitimes ou de recourir à la manipulation sociale pour convaincre les utilisateurs de prendre des mesures menant à l'installation d'un ransomware.

Attaques de point d'eau : lors d'une attaque de point d'eau, les cybercriminels compromettent les sites Web fréquemment visités par leur public cible. En infectant ces sites Web, ils augmentent la probabilité d’infecter les utilisateurs qui les visitent.

Pour protéger votre ordinateur contre les ransomwares, il est essentiel d’adopter de bonnes pratiques de cybersécurité. Cela inclut la mise à jour régulière de votre logiciel, l'utilisation d'un logiciel de sécurité réputé, la prudence avec les pièces jointes et les liens des e-mails, l'évitement des sites Web suspects et le maintien de contrôles d'accès sécurisés, entre autres mesures.