Banjo Ransomware

Le Banjo Ransomware est l'une des dernières menaces de ransomwares issues de la fameuse famille de logiciels malveillants Phobos. En tant que tel, le Banjo Ransomware se comporte comme une variante standard de Phobos Ransomware avec très peu d'écart. Il crypte la plupart des types de fichiers trouvés sur l'ordinateur compromis et exige le paiement d'une rançon en échange de leur éventuelle restauration. Chaque nom de fichier crypté sera modifié selon le modèle - [Nom d'origine]. [ID de la victime]. [E-mail des pirates]. [Extension Ransomware]. Dans le cas de Banjo, l'adresse e-mail est «mutud@airmail.cc» tandis que l'extension de fichier est «.banjo». La menace laisse une note de rançon dans les instructions destinées à ses victimes à la fois sous forme de fichiers texte nommés «info.txt» et sous forme de fenêtre contextuelle.

Les fichiers texte fournissent peu d'informations en plus des trois moyens que les victimes peuvent utiliser pour établir le contact avec les pirates. La première méthode consiste à utiliser le même e-mail placé dans les noms des fichiers cryptés. Si 24 heures s'écoulent et que les utilisateurs concernés ne reçoivent pas de réponse, ils peuvent se tourner vers l'adresse e-mail secondaire à «krasume@tutanota.com». Enfin, les victimes peuvent également discuter directement avec les criminels en contactant leur compte Telegram «@krasume». Les instructions affichées dans la fenêtre contextuelle fournissent un peu plus de détails. Il est précisé que la rançon doit être payée en Bitcoin, le montant exact dépendant de la rapidité avec laquelle les victimes contactent les pirates. La note de rançon indique également que jusqu'à 5 fichiers ne dépassant pas 4 Mo de taille totale peuvent être envoyés pour un décryptage gratuit.

Les instructions contenues dans les fichiers texte sont:

'!!! Tous vos fichiers sont cryptés !!!

Pour les décrypter, envoyez un e-mail à cette adresse: mutud@airmail.cc.

Si nous ne répondons pas dans les 24h., Envoyez un email à cette adresse: krasume@tutanota.com

Notre opérateur en ligne est disponible dans le télégramme de messagerie: @krasume '

Le texte complet de la note de rançon pop-up est:

«Tous vos fichiers ont été cryptés!

Tous vos fichiers ont été cryptés en raison d'un problème de sécurité avec votre PC. Si vous souhaitez les restaurer, écrivez-nous à l'email: mutud@airmail.cc

Écrivez cet identifiant dans le titre de votre message -

En cas de non réponse dans les 24 heures, écrivez-nous à cet e-mail: krasume@tutanota.com

Notre opérateur en ligne est disponible dans le télégramme de messagerie: @krasume

Vous devez payer pour le décryptage en Bitcoins. Le prix dépend de la rapidité avec laquelle vous nous écrivez. Après paiement, nous vous enverrons l'outil qui décryptera tous vos fichiers.

Décryptage gratuit comme garantie

Avant de payer, vous pouvez nous envoyer jusqu'à 5 fichiers pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 4 Mo (non archivés) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, grandes feuilles Excel, etc.)

Comment obtenir des Bitcoins

Le moyen le plus simple d'acheter des bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquer sur «Acheter des bitcoins» et sélectionner le vendeur par mode de paiement et prix.

hxxps: //localbitcoins.com/buy_bitcoins

Vous pouvez également trouver d'autres endroits pour acheter des Bitcoins et un guide pour débutants ici:

hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!

Ne renommez pas les fichiers cryptés.

N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.

Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix (ils ajoutent leurs frais à nos) ou vous pouvez devenir victime d'une arnaque.