Crypyt Ransomware

Les cybercriminels ont publié une nouvelle menace de ransomware nommée Crypyt Ransomware. Bien que l'analyse ait révélé que Crypyt est une variante de la famille des logiciels malveillants VoidCrypt, il peut toujours causer de graves dommages aux ordinateurs qu'il parvient à infecter. La menace est équipée d'un processus de cryptage indéchiffrable qui peut verrouiller de nombreux types de fichiers. Les victimes de Crypyt ne pourront plus accéder ou utiliser les fichiers cryptés. Les attaquants proposeront alors de fournir aux utilisateurs concernés la clé de déchiffrement et l'outil logiciel nécessaires, mais seulement après avoir reçu une lourde rançon. Les autres menaces de ransomware incluent WORM (une variante du Dharma), Rugi (une variante STOP/Djvu ) et Extortionist Ransomware.

Pendant le cryptage, chaque fichier ciblé verra également son nom radicalement modifié. La menace suit la convention de nommage typique de VoidCrypt et ajoute aux noms des fichiers verrouillés une adresse e-mail, une chaîne d'identification attribuée au système compromis spécifique, et enfin, une nouvelle extension de fichier. L'adresse e-mail et l'extension utilisées par cette variante particulière sont "3ncrypter.m4n@gmail.com" et ".crypyt". La demande de rançon contenant des instructions pour les victimes est ensuite transmise au système sous forme de fichier texte nommé « Read-this.txt ».

Détails de la note de rançon

Selon le message demandant une rançon, toutes les victimes doivent localiser un fichier nommé 'prvkey.txt.key' sur l'appareilimmédiatement. Son emplacement par défaut est dans le dossier C:\ProgramData\. Apparemment, ce fichier contient des données cruciales (clé) et sans cela, même les attaquants ne pourront restaurer aucun des fichiers verrouillés. Le fichier doit être envoyé aux pirates via les deux adresses e-mail mentionnées dans la demande de rançon - "3ncrypter.m4n@gmail.com" et "3ncryptionfile@gmail.com".

Parallèlement à ce fichier spécifique, les victimes de Crypyt peuvent également envoyer quelques-uns de leurs fichiers verrouillés qui seront censés être déverrouillés gratuitement.Cependant, les fichiers choisis ne doivent contenir aucune information précieuse et doivent avoir une taille inférieure à 1 Mo. Enfin, la note indique que le paiement de la rançon doit être transféré à l'aide de la crypto-monnaie Bitcoin, une demande populaire parmi les opérateurs de ransomware.

Le texte complet de la note de Crypyt est :

' Tous vos fichiers ont été cryptés
Vous devez payer pour récupérer vos fichiers

1-Allez dans C:\ProgramData\ ou dans Vos autres lecteurs et envoyez-nous le fichier prvkey.txt.key
2-Vous pouvez envoyer un fichier de moins de 1 Mo pour que le test de décryptage nous fasse confiance, mais le fichier de test ne doit pas contenir de données précieuses
3-Le paiement devrait être avec Bitcoin
4-Changer Windows sans enregistrer le fichier prvkey.txt.key entraînera une perte de données permanente

Notre e-mail : 3ncrypter.m4n@gmail.com
en cas de non réponse : 3ncryptionfile@gmail.com '