TmrCrypt0r Ransomware verrouillera vos fichiers

Au cours de notre analyse des fichiers malveillants récemment découverts, nous sommes tombés sur un programme appelé TmrCrypt0r, qui est associé à la famille de rançongiciels Xorist.

Lorsqu'il a été testé sur notre système, ce rançongiciel a crypté divers fichiers et modifié leurs noms de fichiers en ajoutant l'extension ".TMRCRYPT0R". Par exemple, un fichier initialement nommé "1.jpg" apparaîtrait comme "1.jpg.TMRCRYPT0R", tandis que "2.png" deviendrait "2.png.TMRCRYPT0R", et ainsi de suite. En plus du cryptage des fichiers, TmrCrypt0r a présenté des notes de rançon à la fois dans une fenêtre contextuelle et dans un fichier texte.

Les notes de rançon véhiculaient une demande de paiement, informant les victimes que leurs données avaient été cryptées. Les attaquants ont accordé un délai de trois jours pour payer une rançon afin de retrouver l'accès aux fichiers verrouillés. Le montant spécifié était de 150 $, probablement libellé en dollars américains, avec un paiement attendu en roubles russes via le portefeuille Yoomoney. Cependant, il est important de noter que bien que les notes de rançon mentionnent l'adresse du portefeuille, celle-ci n'était pas réellement incluse. De plus, ces messages ne fournissaient aucune information de contact permettant aux victimes de communiquer avec les agresseurs.

Comment un rançongiciel comme TmrCrypt0r peut-il infecter votre ordinateur personnel ?

Les rançongiciels tels que TmrCrypt0r peuvent infecter votre ordinateur personnel par diverses méthodes. Voici quelques méthodes courantes :

• Pièces jointes malveillantes : les cybercriminels distribuent souvent des rançongiciels en envoyant des e-mails de phishing qui semblent légitimes. Ces e-mails peuvent contenir des pièces jointes infectées, telles que des documents ou des fichiers ZIP, qui, lorsqu'ils sont ouverts, déclenchent le processus d'installation du rançongiciel.
• Liens malveillants : les cybercriminels peuvent également distribuer des rançongiciels par le biais de liens malveillants intégrés dans des e-mails, des messages sur les réseaux sociaux ou des sites Web. Cliquer sur ces liens peut entraîner le téléchargement et l'exécution de rançongiciels sur votre ordinateur.
• Kits d'exploitation : les rançongiciels peuvent exploiter les vulnérabilités des logiciels ou des systèmes d'exploitation. Visiter des sites Web compromis ou cliquer sur des publicités malveillantes peut vous rediriger vers des kits d'exploitation, qui analysent automatiquement votre ordinateur à la recherche de vulnérabilités et délivrent un ransomware s'il est trouvé.
• Téléchargements automatiques : les ransomwares peuvent être téléchargés en silence sur votre ordinateur lorsque vous visitez des sites Web compromis ou cliquez sur des publicités malveillantes à votre insu ou sans votre consentement. Ces téléchargements intempestifs exploitent les vulnérabilités de votre navigateur ou de ses plugins.
• Faux programmes d'installation et mises à jour de logiciels : les cybercriminels peuvent créer de faux programmes d'installation ou mises à jour de logiciels qui imitent des applications légitimes ou des mises à jour système. Lorsque vous téléchargez et exécutez ces fichiers malveillants, un rançongiciel peut être installé sur votre ordinateur.
• Partage de fichiers peer-to-peer : le téléchargement de fichiers à partir de sources non fiables, telles que des réseaux peer-to-peer (P2P) ou des torrents, augmente le risque de téléchargement de fichiers infectés intégrés avec un ransomware.