ZeroGuard Ransomware verrouille les systèmes des victimes

ZeroGuard est un type de ransomware caractérisé par sa nature malveillante. Ce malware est spécifiquement conçu pour crypter des fichiers puis exiger un paiement pour leur décryptage. Lors de nos tests, lorsque nous avons exécuté un échantillon de ZeroGuard sur notre système, il a réussi à chiffrer les fichiers et à modifier leurs noms de fichiers.

Pour fournir plus de détails, les noms de fichiers d'origine ont été modifiés en ajoutant l'adresse e-mail des cybercriminels, un identifiant de victime unique et une extension « .ZeroGuard ». Par exemple, un fichier initialement nommé « 1.jpg » serait transformé en « 1.jpg.ZeroGuard0@skiff.com.FFDPVRAPR8LI.ZeroGuard ».

Une fois le processus de cryptage terminé, le ransomware ZeroGuard a généré un message intitulé « Readme.txt ». Ce message indiquait à la victime que son réseau avait été compromis, entraînant le cryptage des fichiers. De plus, le ransomware a supprimé les clichés instantanés de volume.

Selon le message, le seul moyen de récupérer les données est d'acquérir les outils de décryptage auprès des attaquants. Bien que le montant du paiement ne soit pas précisé, il est précisé que la rançon doit être payée en cryptomonnaie Bitcoin. Avant de se conformer aux demandes de rançon, la victime a la possibilité de tester le décryptage sur deux fichiers sélectionnés au hasard.

La note met en garde contre le redémarrage ou l'arrêt du système, car de telles actions pourraient perturber, voire rendre le décryptage impossible.

Note de rançon ZeroGuard dans son intégralité

Le texte complet de la demande de rançon ZeroGuard est le suivant :

Your network has been penetrated!

All files on each host in the network have been encrypted with a strong algorithm.

Backups were either encrypted or removed. Shadow copies were also removed, so using F8 or any other methods may damage the encrypted data but not recover it.

We exclusively have decryption software for your situation.

More than a year ago, world experts recognized the impossibility of deciphering the data by any means except the original decoder. No decryption software is available to the public. Antivirus companies, researchers, IT specialists, and no other persons can help you decrypt the data.

DO NOT RESET OR SHUTDOWN - files may be damaged. DO NOT DELETE readme files.

Pour confirmer nos intentions honnêtes, envoyez deux fichiers aléatoires différents et vous les obtiendrez décryptés. Ils peuvent provenir de différents ordinateurs de votre réseau pour être sûr qu'une seule clé déchiffre tout. Nous débloquerons deux fichiers gratuitement.

Pour nous contacter, veuillez nous envoyer un message sur Telegram. Si vous ne recevez pas de réponse dans les 24 heures, envoyez-nous un e-mail.

Coordonnées :

Télégramme : @Zero_Guard
Mail : ZeroGuard0@skiff.com

Identifiant unique: -
Clé publique: -

Vous recevrez l'adresse BTC pour le paiement dans la lettre de réponse

Aucun système n'est sûr !

Comment un ransomware peut-il pénétrer dans votre système ?

Les ransomwares peuvent pénétrer dans un système par divers moyens, et les attaquants emploient souvent plusieurs techniques pour augmenter leurs chances de succès. Voici les moyens courants par lesquels les ransomwares peuvent pénétrer dans votre système :

E-mails de phishing : l’une des méthodes les plus répandues consiste à envoyer des e-mails de phishing. Les attaquants envoient des e-mails trompeurs qui semblent légitimes, souvent contenant des pièces jointes ou des liens malveillants. Cliquer sur ces liens ou ouvrir des pièces jointes infectées peut conduire à l’installation d’un ransomware.

Sites Web malveillants : la visite de sites Web compromis ou malveillants peut exposer votre système à des ransomwares. Cela peut se produire via des téléchargements drive-by, où les logiciels malveillants sont automatiquement téléchargés et installés à l'insu de l'utilisateur.

Publicité malveillante : les cybercriminels peuvent utiliser des publicités malveillantes (malvertising) pour propager des ransomwares. Des publicités malveillantes peuvent être affichées sur des sites Web légitimes et cliquer dessus peut conduire au téléchargement d'un ransomware.

Exploiter les vulnérabilités des logiciels : les ransomwares peuvent exploiter les vulnérabilités des logiciels ou des systèmes d'exploitation. Il est essentiel de maintenir votre logiciel et votre système d'exploitation à jour avec les derniers correctifs de sécurité afin de minimiser le risque d'exploitation.

Attaques RDP (Remote Desktop Protocol) : les attaquants peuvent tenter d'obtenir un accès non autorisé à un système via des informations d'identification RDP faibles ou compromises. Une fois à l’intérieur, ils peuvent déployer un ransomware.

Téléchargements drive-by : dans certains cas, les ransomwares peuvent être diffusés via des téléchargements drive-by sans aucune interaction de l'utilisateur. Cela peut se produire lors de la visite de sites Web compromis qui exploitent les vulnérabilités des navigateurs ou des plugins.

Périphériques externes infectés : Les ransomwares peuvent être introduits dans un système via des périphériques externes infectés tels que des clés USB ou des disques durs externes. Si ces appareils contiennent des logiciels malveillants et sont connectés à un ordinateur, le rançongiciel peut se propager.