AvosLocker Ransomware

Les chercheurs d'Infosec ont découvert une nouvelle opération de ransomware qu'ils ont nommée AvosLocker. Le groupe de hackers semble être devenu actif vers juin 2021 et en quelques mois seulement, il a réussi à faire plusieurs victimes. Les cybercriminels publient les noms de leurs victimes sur un site de fuite dédié hébergé sur le réseau Tor. Le site contient deux sections - « Annonces de service public » et « Fuites ». Toutes les entités violées ainsi que la preuve des données collectées auprès d'elles sont affichées sous la page « Annonce de service public ». Le groupe AvosLocker utilise des campagnes de courrier indésirable diffusant des courriers électroniques d'appât, ainsi que des publicités corrompues comme vecteurs d'infection initiaux pour la diffusion de la menace du ransomware.

Détails de AvosLocker Ransomware

La menace de ransomware déployée est écrite en C++ et utilise une version personnalisée de l'algorithme cryptographique AES-256 pour verrouiller les fichiers stockés sur les systèmes violés. Le malware est conçu pour infecter les machines Windows et ne s'exécutera pas sur d'autres plates-formes. Dans le cadre de ses capacités menaçantes, AvosLocker Ransomware peut supprimer les clichés instantanés de volume des fichiers concernés, ainsi que mettre fin à des applications spécifiques qui peuvent interférer avec le processus de cryptage. Lors du cryptage d'un fichier, AvosLocker ajoute « .avos » au nom d'origine de ce fichier en tant que nouvelle extension. Comme la plupart des menaces de ce type, AvosLocker Ransomware délivre également une note de rançon avec des instructions pour ses victimes. Le message est déposé sous forme de fichier texte nommé "GET_YOUR_FILES_BACK.txt".

Les demandes d'AvosLocker

Il s'avère que la demande de rançon elle-même contient peu d'informations utiles. Il encourage principalement les victimes de la menace à visiter un site Web TOR pour obtenir toutes les instructions supplémentaires. En suivant le lien fourni et en entrant l'ID de victime spécifique, vous accédez à une page de « paiement ». Ici, les victimes peuvent voir un compte à rebours qui mesure le temps restant avant que la somme demandée par les pirates ne soit doublée. La rançon doit être transférée à l'aide de la crypto-monnaie Monero.

Cependant, avant de payer, les victimes peuvent télécharger un exemple de fichier sur le site pour tester la capacité du pirate à déchiffrer les données verrouillées. La page Web comprend également un chat d'assistance à travers lequel les utilisateurs concernés peuvent soi-disant contacter les pirates AvosLocker.

Il est fortement déconseillé de payer n'importe quelle somme d'argent aux opérateurs de ransomware. Les utilisateurs pourraient s'exposer à des risques de sécurité supplémentaires tout en finançant la prochaine opération menaçante des cybercriminels dans le processus.