Ransomware EnCiPhErEd

De nombreux créateurs de menaces de rançongiciels choisissent d'opter pour la solution la plus simple et fondent leurs produits menaçants sur des produits déjà existants et sur des chevaux de Troie de verrouillage des données, bien établis. Cela semble être ce que les créateurs du Ransomware EnCiPhErEd nouvellement découvert ont fait. Les auteurs de ce méchant cheval de Troie ont basé leur création sur le Xorist Ransomware . Cette approche permet aux cyber-escrocs d'économiser beaucoup de temps et d'efforts, c'est pourquoi elle est si populaire dans le monde de la cybercriminalité.

Propagation et chiffrement

Le vecteur d'infection le plus couramment utilisé, en ce qui concerne les menaces de ransomware, est le spam. Les attaquants cibleraient un grand nombre d'utilisateurs sans méfiance qui recevraient un e-mail qui prétendrait être envoyé par un organisme gouvernemental ou une entreprise réputée. Habituellement, l'e-mail contient une fausse pièce jointe et un faux message qui tentent de convaincre l'utilisateur d'exécuter le fichier joint qui servira à compromettre le système ciblé. Campagnes de publicité malveillante, fausses variantes piratées d'applications populaires, mises à jour de logiciels frauduleuses et téléchargements figurent parmi les méthodes de propagation couramment utilisées

Une fois qu'il a compromis un système, le rançongiciel EnCiPhErEd commencerait à verrouiller toutes les données qu'il contient. Les images, documents, fichiers audio, vidéos, feuilles de calcul, bases de données et archives seront tous rendus inutilisables après que le rançongiciel EnCiPhErEd aura appliqué son algorithme de chiffrement et les aura verrouillés. Tous les fichiers cryptés recevront une extension supplémentaire - «.EnCiPhErEd». Cela signifie qu'un fichier nommé à l'origine «frosty-window.jpeg» verra son nom modifié en «frosty-window.jpeg.EnCiPhErEd» une fois que ce cheval de Troie l'a verrouillé.

La note de rançon

La rançon note que le logiciel de rançon EnCiPhErEd tombe sur le bureau de l'utilisateur est appelé «COMMENT DÉCRYPTER LES FICHIERS.txt». Le rançongiciel EnCiPhErEd affiche également un message de rançon dans une fenêtre contextuelle distincte. Dans la note de rançon, les attaquants demandent à l'utilisateur d'envoyer un SMS à un numéro de téléphone chinois - '+86 17192175113.' Les agresseurs indiquent également à la victime quel doit être le contenu du message texte - «19283». Les chercheurs en cybersécurité conseillent fortement aux utilisateurs de ne pas se conformer aux instructions des cyber-escrocs.

Selon les experts, il est probable que le rançongiciel EnCiPhErEd soit déchiffrable gratuitement. Les utilisateurs dont les données ont été affectées par le rançongiciel EnCiPhErEd doivent rechercher le «Xorist Decryptor» en ligne. Il s'agit d'un outil de décryptage disponible gratuitement qui peut vous aider à récupérer vos données. Même s'il n'y avait pas d'outil disponible, ce n'est toujours pas une bonne idée de coopérer avec les attaquants car ils trompent souvent les utilisateurs qui paient et ne fournissent jamais la clé de déchiffrement dont ils ont besoin.