Threat Database Ransomware Cip Ransomware

Cip Ransomware

Les chercheurs d'Infosec ont identifié une autre menace de ransomware destructrice qui fait partie de la famille des ransomwares Dharma. Appelée Cip Ransowmare, la menace suit de près le comportement typique du Dharma sans présenter de déviations significatives. Les dommages qu'il peut causer aux systèmes informatiques infectés ne doivent cependant pas être sous-estimés.

Cip utilise un algorithme de cryptage puissant pour verrouiller presque tous les fichiers de sa victime. Les utilisateurs concernés ne pourront accéder ou utiliser de quelque manière que ce soit leurs documents, PODF, archives, bases de données, images, photos, fichiers audio et vidéo, etc. Au cours du processus de cryptage, Cip Ransomware modifiera également les noms des fichiers ciblés. La menace s'en tient au modèle de nommage habituel du Dharma en ajoutant d'abord une chaîne de caractères qui agit comme l'ID de la victime. Ensuite, Cip ajoute une adresse e-mail contrôlée par ses opérateurs. Enfin, '.cip' sera ajouté en tant que nouvelle extension de fichier.

Les victimes se retrouveront avec deux notes de rançon contenant les instructions des assaillants. L'un sera placé sur le bureau du système compromis sous la forme d'un fichier texte nommé "info.txt". L'autre note sera affichée dans une nouvelle fenêtre contextuelle.

Demandes de Cip Ransomware

Le but de la menace est d'extorquer de l'argent en échange de la restauration des données de la victime. Cependant, ses deux notes de rançon manquent de nombreux détails cruciaux observés dans d'autres menaces de ransomware. Les messages ne mentionnent pas le montant de la rançon demandée, si les fonds doivent être transférés à l'aide d'une crypto-monnaie spécifique, ou si les attaquants sont prêts à démontrer leur capacité à décrypter les données en déverrouillant gratuitement quelques fichiers.

Au lieu de cela, la note dans le fichier texte répertorie les deux e-mails que les victimes peuvent utiliser pour la communication - "ciphercrypt@tuta.io" et "cipherc@onionmail.org". Les instructions dans la fenêtre contextuelle ne sont pas très utiles. Ils contiennent simplement une section avec divers avertissements tels que ne pas renommer les fichiers cryptés ou exécuter des décrypteurs tiers car cela pourrait endommager les données et rendre les fichiers irrécupérables.

Le message contextuel est :

VOS FICHIERS SONT CRYPTÉS
1024
Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers !
Si vous souhaitez les restaurer, écrivez au courrier: ciphercrypt@tuta.io VOTRE ID -
Si vous n'avez pas répondu par mail dans les 12 heures, écrivez-nous par un autre mail : cipherc@onionmail.org
ATTENTION!
Nous vous recommandons de nous contacter directement pour éviter de surpayer les agents
Ne renommez pas les fichiers cryptés.
N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix (ils ajoutent leurs frais à nos) ou vous pouvez devenir victime d'une arnaque.

La note trouvée dans le fichier texte est :

toutes vos données nous ont été verrouillées
Vous voulez revenir ?
écrivez un e-mail ciphercrypt@tuta.io ou cipherc@onionmail.org

Posts relatifs

Tendance

Le plus regardé

Chargement...