Baxter Ransomware
Comme la plupart des ransomwares, le but des cybercriminels derrière Baxter Ransomware est d'infecter les ordinateurs des utilisateurs, puis de laisser leur création de ransomwares chiffrer les données qui y sont stockées. Les utilisateurs ne pourront accéder à aucun de leurs fichiers - documents, PDF, archives, bases de données, images, photos, etc. Baxter Ransomware est une nouvelle menace de la famille VoidCrypt Ransomware.
Tous les fichiers cryptés verront leur nom radicalement modifié. Le Baxter Ransomware suit un modèle de nommage complexe - il ajoute une adresse e-mail (karusjok@gmail.com), suivie d'une chaîne aléatoire, et enfin ".baxter" comme nouvelle extension de fichier. Une fois le cryptage du fichier terminé, la menace enverra alors sa demande de rançon. Les instructions des pirates seront placées dans des fichiers texte nommés « Decrypt-info.txt ».
Selon la note, l'étape la plus importante que les victimes de Baxter Ransomware doivent faire est de trouver un fichier nommé « prvkey*.txt.key » (l'astérisque peut être un nombre dans le fichier spécifique). L'emplacement de ce fichier est censé être C:\ProgramData\. La falsification de ce fichier de quelque manière que ce soit pourrait rendre les fichiers cryptés irrécupérables. Après avoir localisé le fichier, les utilisateurs sont invités à l'envoyer via l'adresse e-mail fournie - "karusjok@gmail.com" ou le compte de télégramme - "@karuus". Les victimes de Baxter Ransomware peuvent également envoyer un seul fichier verrouillé qui sera ensuite censé être déchiffré gratuitement.
Le texte intégral de la demande de rançon abandonnée par la menace est :
' Tous vos fichiers ont été cryptés
Vous devez payer pour récupérer vos fichiers
1-Allez dans C:\ProgramData\ ou dans Vos autres lecteurs et envoyez-nous le fichier prvkey*.txt.key , * peut être un nombre (comme ceci : prvkey3.txt.key)
2-Vous pouvez envoyer un fichier de moins de 1 Mo pour que le test de décryptage nous fasse confiance, mais le fichier de test ne doit pas contenir de données précieuses
3-Le paiement devrait être avec Bitcoin
4-Changer Windows sans enregistrer le fichier prvkey.txt.key entraînera une perte de données permanenteNotre e-mail : karusjok@gmail.com
en cas de non réponse : identifiant de télégramme : @karuus '
