Arch Ransomware

Les chercheurs d'Infosec ont découvert une nouvelle menace de ransomware dangereuse qui a été déchaînée dans la nature. Appelée Arch Ransomware, la menace a été classée comme une variante appartenant à la famille des ransomwares Makop. Les utilisateurs infectés par Arch Ransomware se retrouveront effectivement exclus de leurs propres fichiers. En effet, presque tous les fichiers sur les systèmes informatiques compromis par la menace seront rendus inaccessibles grâce à une routine de cryptage utilisant des algorithmes cryptographiques puissants.

Arch Ransomware présente les caractéristiques habituelles associées à ce type de malware. Tout d'abord, il crypte les types de fichiers ciblés, puis il modifie les noms des fichiers concernés en leur ajoutant une chaîne de caractères, suivi d'une adresse email sous le contrôle des hackers, et enfin une nouvelle extension de fichier. L'adresse e-mail est «bobwhite@msgsafe.io» tandis que l'extension est «.arch». La prochaine étape consiste à déposer la note de rançon avec des instructions pour les victimes. La menace le fait en créant des fichiers texte nommés «readme-warning.txt» dans tous les dossiers contenant des données chiffrées.

La note d'Arch Ransomware est structurée comme une FAQ, et selon elle, les cybercriminels veulent recevoir une rançon payée en Bitcoin s'ils doivent envoyer le logiciel de décryptage qui pourrait potentiellement restaurer les fichiers verrouillés. Les utilisateurs concernés peuvent initier le contact en envoyant un message à l'un des deux e-mails trouvés dans la note - l'un est le même que l'e-mail placé dans les noms des fichiers cryptés tandis que l'autre est «bobwhite@cock.li». Pour démontrer leur capacité à décrypter les fichiers de l'utilisateur, les pirates autorisent jusqu'à deux fichiers à joindre au message électronique. Les fichiers ne doivent pas être des bases de données et doivent avoir une taille inférieure à 1 Mo.

Le texte complet de la note d'Arch Ransomware est:

::: Les salutations :::

Petite FAQ:
.1.
Q: Que se passe-t-il?
R: Vos fichiers ont été chiffrés et ont maintenant l'extension "arch". La structure du fichier n'a pas été endommagée, nous avons tout fait pour que cela ne puisse pas arriver.

.2.
Q: Comment récupérer des fichiers?
R: Si vous souhaitez décrypter vos fichiers, vous devrez payer en bitcoins.

.3.
Q: Qu'en est-il des garanties?
R: C'est juste une entreprise. Nous ne nous soucions absolument pas de vous et de vos offres, sauf pour obtenir des avantages. Si nous ne faisons pas notre travail et nos responsabilités, personne ne coopérera avec nous. Ce n'est pas dans notre intérêt.
Pour vérifier la capacité de renvoyer des fichiers, vous pouvez nous envoyer 2 fichiers avec des extensions SIMPLES (jpg, xls, doc, etc ... pas des bases de données!) Et de petites tailles (max 1 mb), nous les décrypterons et les renverrons à toi. Telle est notre garantie.

.4.
Q: Comment entrer en contact avec vous?
R: Vous pouvez nous écrire à notre boîte aux lettres: bobwhite@msgsafe.io ou bobwhite@cock.li

.5.
Q: Comment se déroulera le processus de décryptage après le paiement?
R: Après le paiement, nous vous enverrons notre programme de scanner-décodeur et des instructions d'utilisation détaillées. Avec ce programme, vous pourrez déchiffrer tous vos fichiers cryptés.

.6.
Q: Si je ne veux pas payer de mauvaises personnes comme vous?
R: Si vous ne coopérez pas avec notre service - pour nous, ce n'est pas grave. Mais vous perdrez votre temps et vos données, car seuls nous avons la clé privée. En pratique, le temps est bien plus précieux que l'argent.

:::IL FAUT SE MÉFIER:::
N'essayez PAS de modifier vous-même les fichiers cryptés!
Si vous essayez d'utiliser un logiciel tiers pour restaurer vos données ou des solutions antivirus, veuillez effectuer une sauvegarde de tous les fichiers cryptés!
Toute modification des fichiers cryptés peut entraîner des dommages à la clé privée et, par conséquent, la perte de toutes les données.