Arai Ransomware
Le Arai Ransomware est une menace nuisible, conçue pour crypter les données stockées sur les appareils qu'il a infectés. Le Arai Ransomware est capable de cibler de nombreux types de fichiers qui resteront dans un état inutilisable après avoir été soumis au cryptage des données. L'algorithme cryptographique utilisé garantit que les fichiers concernés seront presque impossibles à restaurer sans les clés de déchiffrement appropriées. Il convient de noter que le Arai Ransomware semble être spécifiquement destiné à infecter les personnes morales.
Arai Ransomware modifie les noms d'origine des fichiers qu'il verrouille en leur ajoutant ".araicrypt" comme nouvelle extension de fichier. Parmi les modifications apportées aux appareils piratés causées par Arai Ransomware figurera également la création d'un nouveau fichier texte nommé "READ_TO_RESTORE_YOUR_FILES.txt". Le fichier sera déposé sur le bureau de l'appareil et son rôle est de porter une note de rançon avec les instructions des cybercriminels.
Détails de la note de rançon
Dans le message exigeant une rançon, les opérateurs criminels d'Arai Ransomware révèlent qu'ils mènent une opération de double extorsion. En plus d'empêcher les victimes d'accéder à leurs propres fichiers, les attaquants collectent également des informations sensibles ou confidentielles sur les systèmes infectés. La note indique que le logiciel malveillant a supprimé toutes les sauvegardes et les clichés instantanés de volume des fichiers cryptés.
Les données exfiltrées sont utilisées comme levier supplémentaire pour pousser les victimes à payer la rançon demandée. Sinon, les pirates menacent de divulguer les données privées au public ou de les vendre à toute partie intéressée. De plus, les victimes n'ont apparemment que 48 heures pour se conformer aux exigences des cybercriminels. Après la fin de cette période, les pirates refuseront d'aider à la restauration des fichiers cryptés et publieront les informations collectées.
La note de rançon laisse aux victimes deux adresses e-mail qui peuvent servir de canaux de communication. L'adresse principale est 'AraiHelp@secmail.pro' tandis que 'AraiHelp2@secmail.pro' sert de sauvegarde.
Le texte intégral du message d'Arai Ransomware est :
'===========================================
All Your Files Have Been Encrypted !!
===========================================
All of your backups and shadow copies have also been deleted so forget restoring
them.
===========================================
We also have been able to steal your confidential files (databases, customers data's,
HR etc...) all over your network workstations and servers.
===========================================
If you want to hear your mind instead of our instructions, you will loose stupidly your
files but you will also see your files being published online or sell to tiers (and we'll do it)
In this case, beleive us that you're going to suffer a big financial loss and a big loss
of reputation.
===========================================
We are aware that you don't want this case too happens.
If you want to restore files and want us to delete your confidentials files, contact us right
with a message to the contact address below. Include the KeyID in your message pls.
===========================================
AraiHelp@secmail.pro
If there's no answers from us in the next 15 hours, contact us to :
AraiHelp2@secmail.pro
Note that you have only 48 hours to contact us. After this delay, there will be no data
recovered and your files will be published.
Key Identifier:'
