Deal Ransomware

Les chercheurs en cybersécurité continuent de détecter de plus en plus de menaces liées aux ransomwares sur le Web. Parmi les chevaux de Troie de verrouillage des données les plus récents, on trouve le Deal Ransomware. Lorsque les experts ont étudié cette menace, il est rapidement devenu évident qu’il s’agissait d’une autre variante du fameux Phobos Ransomware . Les menaces de ransomware sont considérées comme un moyen relativement sûr de générer de l’argent rapidement sur le dos d’utilisateurs innocents, et il est probable que cette tendance ne disparaîtra pas de si tôt.

Propagation et cryptage

Les vecteurs d’infection utilisés dans la propagation du Deal Ransomware n’ont pas encore été divulgués. Certains supposent que les attaquants utilisent peut-être des spams pour propager ce cheval de Troie. Ces courriels contiennent souvent une pièce jointe corrompue qui, une fois ouverte, détournerait le système ciblé. Pour inciter l'utilisateur à lancer les fichiers attachés, les auteurs de menaces de ransomware ont tendance à utiliser diverses astuces d'ingénierie sociale. Il existe d'autres méthodes de propagation des menaces de ransomware, telles que les fausses mises à jour de logiciel, les suivis de torrents et les fausses variantes piratées d'applications légitimes. Lorsque Deal Ransomware corrompt un système, il analyse ses données pour localiser les fichiers qui vous intéressent. Deal Ransomware cible probablement une très longue liste de types de fichiers pour garantir un maximum de dégâts. Lorsque la menace a correctement localisé les données ciblées, elle commence son processus de chiffrement. Lorsque Deal Ransomware crypte un fichier, il ajoute une nouvelle extension à la fin de son nom de fichier: ".id [ID VICTIM]. [Butters.felicio@aol.com] .deal."

Le billet de rançon

Dans la phase suivante de l'attaque, Deal Ransomware laisse tomber une note de rançon. La note est stockée dans deux fichiers - "info.hta" et "info.txt" et se lit comme suit:

'Votre ordinateur est infecté par un virus.
Les fichiers sont verrouillés * mais non corrompus.

IMPORTANT:
1. l'infection était due à des vulnérabilités dans votre logiciel
2. Si vous voulez vous assurer qu'il est impossible de récupérer des fichiers à l'aide d'un logiciel tiers, ne le faites pas sur tous les fichiers, sinon vous risquez de perdre toutes les données.
3. Seule la communication via notre courrier électronique peut vous garantir une récupération de fichier. Nous ne sommes pas responsables des actions de tiers qui promettent de vous aider - le plus souvent, ce sont des escrocs.
4. Si nous ne vous répondons pas dans les 24 heures, envoyez un message à l'adresse ezequielanthon@aol.com.
5. si vous avez besoin d'un autre canal de communication - écrivez une demande par courrier électronique.
6. notre objectif est de renvoyer vos données, mais si vous ne nous contactez pas, nous n'y parviendrons pas '

Les auteurs du Deal Ransomware ne mentionnent pas le montant de la rançon. Cependant, ils insistent pour que la victime les contacte par courrier électronique. Ils ont fourni une adresse e-mail principale, "butters.felicio@aol.com", ainsi qu'une adresse e-mail de secours si l'utilisateur ne reçoit pas de réponse dans les 24 heures, à savoir "ezequielanthon@aol.com". Plusieurs adresses e-mail associées à cette variante sont les suivantes: "harlin_marten@aol.com", "lewisswaffield.a@aol.com" et "relvirosa1981@aol.com".

Nous vous recommandons vivement de rester à l'écart des créateurs de Deal Ransomware et d'éviter tout contact avec eux. Vous ne savez jamais s’ils vous fourniront la clé de déchiffrement promise même si vous payez. C'est pourquoi vous devriez vous procurer un outil anti-malware légitime et l'utiliser pour supprimer le Deal Ransomware de votre système en toute sécurité.