Threat Database Ransomware Retis Ransomware

Retis Ransomware

Par GoldSparrow en Ransomware

Retis Ransomware est un cheval de Troie de type encodeur de fichiers qui a été découvert le 19 décembre 2017. La menace semble cibler principalement les utilisateurs francophones, mais elle peut être facilement modifiée pour supporter l'anglais et d'autres langues. Les analystes de logiciels malveillants qui travaillaient avec des échantillons du cheval de Troie ont dévoilé que le plus probablement la menace se trouve sur les machines des petites entreprises et des départements des ressources humaines. La charge est déployée sous forme de faux CV et de CV joints à des courriels de phishing. Les documents incluent un script de macro qui indique à Windows de se connecter à un serveur distant, de télécharger un package chiffré, de déchiffrer le package, de charger et d'exécuter le programme malveillant.

Des tests en laboratoire ont permis aux chercheurs de classer Retis Ransomware comme une crypto-menace générique. Retis Ransomware est programmé pour chiffrer principalement les documents Office et les ordinateurs affectés ne sont pas susceptibles d'ouvrir des conteneurs de données avec des extensions telles que — .TXT, .DOC, .DOCX, .XLS, .XLSX, .PPT, .PPTX, .JPG, .JPEG, .PNG, .ONE and .PDF. Les fichiers qui ont été affectés par Retis Ransomware sont reconnus par le suffixe '.crypted' présent dans leurs noms. Par exemple, 'MakerBot Replicator+ specifications.pptx' est renommé en 'MakerBot Replicator+ specifications.pptx.crypted' et une notification de rançon est affichée sur le bureau. La menace est observée pour changer l'arrière-plan du bureau pour une image personnalisée intitulée 'RANSOM.png' qui est enregistrée dans le répertoire caché AppData utilisé par Windows pour stocker les paramètres du programme, enregistrer des fichiers et des fichiers Internet temporaires. La version traduite de la note de la rançon peut être trouvée ci-dessous:

'Votre bureau, photos, données et autres fichiers importants ont été cryptés avec un algorithme fort et une clé unique générée pour cet ordinateur.
La clé secrète pour déchiffrer vos données est conservée sur un serveur Internet et personne ne peut déchiffrer vos fichiers jusqu'à ce que vous ne payiez pas pour l'obtenir.
Vous avez 24 heures pour nous envoyer le paiement.
PASSÉ CE DÉLAI, VOTRE CLÉ SERA SUPPRIMÉE PAR NOS SERVEURS ET IL NE SERA PAS POSSIBLE DE RECUPÉRER VOS DONNÉES'

Les utilisateurs peuvent être incapables d'utiliser la fonction de récupération du système dans Windows parce que Retis Ransomware est connu pour supprimer les clichés instantanés de volume. Toutefois, vous pouvez démarrer des images de sauvegarde à partir de lecteurs de mémoire non mappés et utiliser des emplacements de stockage d'archives pour reconstruire vos données. Le contact avec les créateurs de menaces est impossible en raison de l'absence d'adresse e-mail, de comptes de messagerie instantanée et d'un chat Web fourni dans la note relative à la rançon. Il est possible que Retis Ransomware ne soit qu'une version d'essai d'un nouveau cheval de Troie. Vous devez ajouter un gestionnaire de sauvegarde fiable et un bouclier anti-malware à votre système si vous voulez être prêt pour des attaques potentielles. Les scanners AV suppriment les objets liés à Retis Ransomware et les signalent comme:

  • Artemis!5307A6264358
  • Gen:Heur.Ransom.MSIL.1
  • TROJ_GEN.F0C2C00LJ17
  • Trojan-Ransom.Win32.Crypren.aecf
  • Trojan.Ransom.FileCryptor
  • W32/Trojan.ECHV-5999
  • malicious_confidence_80% (W)
  • malware (ai score=99)

Tendance

Le plus regardé

Chargement...