2700 rançongiciels

La variante du ransomware identifiée comme 2700 a été découverte lors de l'analyse des menaces potentielles de logiciels malveillants. Ce logiciel nuisible utilise un mécanisme de cryptage de fichiers, dans lequel il crypte les fichiers et ajoute des informations spécifiques aux noms de fichiers. Les données ajoutées incluent l'identifiant de la victime, l'adresse e-mail sqlback@memeware.net et une extension « .2700 ».

En plus de ses opérations de cryptage, 2700 laisse derrière lui deux notes de rançon, nommées « info.txt » et « info.hta », dans le cadre de son mode opératoire. Ces notes contiennent généralement des instructions et des demandes des attaquants concernant le paiement d'une rançon pour la clé de déchiffrement.

Pour illustrer comment 2700 modifie les noms de fichiers, considérons les exemples suivants : « 1.png » peut être transformé en « 1.jpg.id[9ECFA74E-3524].[sqlback@memeware.net].2700 » et « 2.doc ». pourrait devenir '2.png.id[9ECFA74E-3524].[sqlback@memeware.net].2700.' Ce modèle de renommage de fichiers présente la méthode cohérente utilisée par 2700 pour ajouter des informations spécifiques aux victimes aux fichiers cryptés. Les utilisateurs rencontrant cette variante de ransomware doivent faire preuve de prudence et appliquer des mesures de sécurité adéquates pour protéger leurs données et leurs systèmes. Le 2700 Ransomware a été lié à la famille de logiciels malveillants Phobos .

Le 2700 Ransomware extorque de l’argent à ses victimes en prenant des données en otage

La demande de rançon associée au 2700 Ransomware fournit des instructions détaillées permettant aux victimes d'établir un contact avec les auteurs via l'adresse e-mail spécifiée, sqlback@memeware.net, en utilisant un identifiant unique mentionné dans l'objet du message. La demande de rançon, généralement payable en Bitcoins, varie en fonction de la rapidité de réponse de la victime à la demande de rançon.

Pour encourager le respect, la note offre aux victimes une possibilité limitée d'envoyer jusqu'à 2 fichiers pour un décryptage gratuit, à condition que la taille totale ne dépasse pas 2 mégaoctets et que les fichiers soient considérés comme non critiques. Les instructions guident également les victimes sur le processus d'obtention de Bitcoins, mettent en garde contre le renommage des fichiers cryptés et déconseillent de tenter un décryptage avec un logiciel tiers, ce qui pourrait entraîner une perte permanente de données.

Il est important de noter que 2700 prend des mesures stratégiques pour compromettre les défenses du système ciblé. Il désactive le pare-feu, mesure de sécurité fondamentale, affaiblissant la protection globale du système. De plus, le ransomware élimine les clichés instantanés de volumes, excluant ainsi les possibilités potentielles de récupération de données. En exploitant les vulnérabilités des services RDP (Remote Desktop Protocol), 2700 obtient un accès non autorisé via des attaques par force brute et par dictionnaire, en particulier sur les systèmes avec des informations d'identification de compte mal gérées.

Au-delà de ses fonctionnalités de chiffrement et de compromission, le 2700 présente des capacités avancées. Il collecte des données de localisation et possède la capacité d'exclure des emplacements prédéfinis spécifiques, améliorant ainsi sa longévité et son impact. Ces tactiques aux multiples facettes font du 2700 une menace redoutable, soulignant l’importance de disposer de pratiques globales de cybersécurité et d’une sensibilisation accrue pour contrecarrer ses effets néfastes.

Il est primordial d'établir des mesures de sécurité robustes sur tous les appareils

La protection des appareils contre les menaces de ransomware nécessite une approche globale englobant une combinaison de mesures préventives et de pratiques proactives. Voici les mesures essentielles que les utilisateurs doivent toujours mettre en œuvre pour protéger leurs appareils contre les ransomwares :

• Sauvegardes régulières : Il est crucial de créer des sauvegardes régulières de vos données importantes sur un stockage externe et hors ligne. Cela garantit que même si l'appareil est compromis, les utilisateurs peuvent restaurer les fichiers concernés sans succomber aux demandes de rançon.
• Logiciel de sécurité : installez un logiciel anti-malware réputé sur tous les appareils. Ensuite, assurez-vous de maintenir le logiciel à jour et d'exécuter des analyses régulières pour détecter et supprimer les menaces potentielles, y compris les ransomwares.
• Mises à jour logicielles : installez toujours de nouvelles mises à jour pour votre logiciel et votre système d'exploitation, toujours à jour avec les derniers correctifs de sécurité. Des mises à jour régulières aident à corriger les vulnérabilités que les ransomwares et autres logiciels malveillants peuvent exploiter.
• Sensibilisation à la sécurité des e-mails : soyez prudent lorsque vous ouvrez des pièces jointes à des e-mails ou réagissez à des liens, en particulier dans les e-mails provenant de sources inconnues ou suspectes. Soyez vigilant contre les tentatives de phishing, une méthode courante pour lancer des attaques de ransomware.
• Éducation des utilisateurs : informez-vous, ainsi que vos utilisateurs, des dangers des ransomwares. Formez-les à reconnaître les tentatives de phishing, les liens suspects et l’importance de ne pas télécharger de fichiers provenant de sources non fiables.
• Principe du moindre privilège : adoptez le principe du moindre privilège. Limitez les droits d’accès des utilisateurs uniquement à ce qui est nécessaire à leur rôle, réduisant ainsi l’impact potentiel si un compte est compromis.
• Segmentation du réseau : effectuez une segmentation du réseau pour isoler les systèmes critiques du reste du réseau. Cela empêche le mouvement latéral des ransomwares au sein d’un réseau.

En mettant en œuvre systématiquement ces mesures, les utilisateurs peuvent considérablement maximiser la sécurité de leurs appareils et minimiser la probabilité d'être victime d'attaques de ransomware.

Les victimes du 2700 Ransomware se retrouvent avec la note de rançon suivante :

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sqlback@memeware.net
Write this ID in the title of your message 9ECFA84E-3524
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 2 files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is the OKX website. You must register, click "Buy Bitcoins" and select a merchant by payment method and price.
hxxps://okx.com
You can also find other places to buy bitcoins and a beginner's guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by 2700 Ransomware delivers the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: sqlback@memeware.net.'