Un ransomware complet menace les fuites de données

ransomware

Au cours de notre enquête sur les échantillons de logiciels malveillants récemment soumis, nos chercheurs sont tombés sur un programme de ransomware nommé « Whole ». Nous avons déterminé qu'il est dérivé du ransomware Keylock. Ce logiciel malveillant crypte les données et exige des rançons en échange de leur décryptage.

Lors de nos tests, le ransomware « Whole » a crypté les fichiers et ajouté une extension « .whole » à leurs noms de fichiers. Par exemple, un fichier nommé à l'origine « 1.jpg » s'afficherait sous la forme « 1.jpg.whole » et « 2.png » sous la forme « 2.png.whole ».

Une fois le processus de cryptage terminé, le fond d'écran du bureau a été modifié et une demande de rançon intitulée « README-ID-[victim's_ID].txt » a été générée. D’après le contenu de cette note, il est évident que ce ransomware cible principalement les entreprises plutôt que les utilisateurs individuels.

Le message affiché sur le fond d'écran « Whole » demande à la victime de lire le fichier texte associé (« README-ID-[victim's_ID].txt »). Cette demande de rançon explique que les fichiers de la victime ont été cryptés et lui assure que sa clé de déchiffrement unique est stockée en toute sécurité sur les serveurs des attaquants.

La récupération peut être testée gratuitement en envoyant quelques fichiers cryptés aux cybercriminels (dans certaines limites). Si la victime ne tente pas de contacter les attaquants dans un délai de 3 jours, ses données commerciales sensibles peuvent être exposées ou vendues.

Le message comprend également des avertissements informant la victime que renommer ou modifier les fichiers concernés, ainsi que l'utilisation d'outils de récupération tiers ou d'un logiciel antivirus, peut rendre les données irrécupérables.

Whole Ransomware abandonne une longue note

Le texte intégral de la demande de rançon complète se lit comme suit :

VOS FICHIERS SONT CHIFFRÉS

Vos fichiers ont été cryptés avec des algorithmes de cryptage puissants et modifiés !
Ne vous inquiétez pas, votre clé de cryptage unique est stockée en toute sécurité sur notre serveur et vos données peuvent être décryptées rapidement et en toute sécurité.

Nous pouvons prouver que nous pouvons décrypter toutes vos données. Veuillez simplement nous envoyer 3 fichiers cryptés de petite taille (~ 2 Mo) sans importance, qui sont stockés de manière aléatoire sur votre serveur. Joignez également votre fichier README-ID-.txt laissé par nos soins dans chaque dossier.
Nous décrypterons ces fichiers et vous les enverrons comme preuve. Veuillez noter que les fichiers destinés au test de décryptage gratuit ne doivent pas contenir d'informations précieuses.

Si vous n'entamez pas un dialogue avec nous dans les 72 heures, nous serons obligés de publier vos fichiers dans le domaine public. Vos clients et partenaires seront informés de la fuite de données.
De cette façon, votre réputation sera ruinée. Si vous ne réagissez pas, nous serons obligés de vendre les informations les plus importantes telles que les bases de données et les données personnelles aux parties intéressées afin de générer des bénéfices.

Si vous souhaitez résoudre cette situation, joignez en lettre ce fichier README-ID-.txt et écrivez à TOUTES ces 2 adresses email :

pmmx@techmail.info
Wholekey@mailfence.com

IMPORTANT!
Nous vous recommandons de nous contacter directement pour éviter de payer trop cher les agents.
Nous demandons d'envoyer votre message à TOUTES nos 2 adresses email car pour diverses raisons, votre email peut ne pas être livré.
Notre message peut être reconnu comme spam, alors assurez-vous de vérifier le dossier spam.
Si nous ne vous répondons pas dans les 24 heures, écrivez-nous depuis une autre adresse email.
Ne perdez pas de temps, cela ne fera que causer des dommages supplémentaires à votre entreprise.
Veuillez ne pas renommer et essayer de décrypter les fichiers vous-même. Nous ne pourrons pas vous aider si les fichiers sont modifiés.
Si vous essayez d'utiliser un logiciel tiers pour restaurer vos données ou des solutions antivirus, veuillez effectuer une sauvegarde de tous les fichiers cryptés.
Si vous supprimez des fichiers cryptés de l'ordinateur actuel, vous ne pourrez peut-être pas les déchiffrer.

Comment un ransomware peut-il pénétrer dans votre système ?

Les ransomwares peuvent infiltrer votre système par divers moyens, et comprendre ces points d’entrée est crucial pour protéger votre système contre de telles attaques. Voici les moyens courants par lesquels les ransomwares peuvent pénétrer dans votre système :

  • Pièces jointes aux e-mails : les e-mails de phishing sont une méthode répandue pour la distribution de ransomwares. Les cybercriminels envoient des e-mails apparemment légitimes contenant des pièces jointes infectées (par exemple, des PDF, des documents Word ou des fichiers ZIP) ou des liens vers des sites Web malveillants. Lorsque les utilisateurs ouvrent ces pièces jointes ou cliquent sur les liens, le ransomware est téléchargé et exécuté sur leurs systèmes.
  • Liens malveillants : les ransomwares peuvent également être diffusés via des liens trompeurs ou malveillants dans des e-mails, des messages instantanés ou sur des sites Web. Cliquer sur ces liens peut conduire au téléchargement et à l’exécution d’un ransomware.
  • Publicité malveillante : les cybercriminels peuvent utiliser des publicités malveillantes (publicités malveillantes) sur des sites Web légitimes pour diffuser des ransomwares. La simple visite d'un site Web compromis avec ces publicités peut déclencher un téléchargement automatique du logiciel malveillant.
  • Exploiter les vulnérabilités : les auteurs de ransomwares peuvent exploiter les vulnérabilités logicielles de votre système d'exploitation ou de vos applications. Si votre système n'est pas à jour avec les correctifs de sécurité, il peut être vulnérable aux attaques basées sur des exploits.
  • Téléchargements drive-by : les ransomwares peuvent être diffusés via des « téléchargements drive-by », où les utilisateurs téléchargent sans le savoir du code malveillant tout en visitant des sites Web compromis ou malveillants. Ces téléchargements peuvent avoir lieu sans aucune interaction ni consentement de l'utilisateur.
  • Attaques RDP (Remote Desktop Protocol) : les attaquants peuvent exploiter des informations d'identification RDP faibles ou par défaut pour accéder aux systèmes distants. Une fois à l’intérieur, ils peuvent installer un ransomware et crypter des fichiers.
  • Téléchargements de logiciels : le téléchargement de logiciels ou de fichiers à partir de sources non fiables ou piratées peut exposer votre système à des ransomwares. Les logiciels illégitimes ou les versions crackées sont souvent accompagnés de charges utiles de logiciels malveillants cachés.

Par Zaib
November 7, 2023
Ransomware
Français
November 7, 2023
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.