Extortionist Ransomware
The Extortionist Ransomware est une nouvelle variante menaçante de la famille des logiciels malveillants VoidCrypt. Son objectif est d'infiltrer les systèmes ciblés et d'exécuter un algorithme de cryptage puissant. En conséquence, les victimes perdront l'accès à la plupart de leurs fichiers privés et professionnels. Les documents, archivés, bases de données, images, photos, PDF, etc. seront rendus inutilisablescomplètement Les acteurs de la menace responsables de la libération du ransomware Extortionist feront ensuite chanter leurs victimes pour de l'argent en échange de la restauration potentielle des données verrouillées.
L'une des caractéristiques distinctives de la menace est l'extension spécifique qu'elle utilise pour marquer chaque fichier verrouillé. Lors du cryptage d'un fichier à partir des types de fichiers ciblés, le logiciel malveillant ajoutera au nom d'origine du fichier une adresse e-mail, une chaîne d'identification unique et une nouvelle extension. L'adresse e-mail est 'openthefile@mailfence.com' tandis que l'extension est '.Extortionist.' La demande de rançon de la menace est déposée sur les appareils compromis sous la forme d'un fichier texte nommé « Decrypt-me.txt ».
Aperçu des demandes
Les instructions des pirates indiquent que la première action de leurs victimes devrait être de localiser un fichier spécifique nommé "prvkey*.txt.key". Apparemment, le fichier contient une clé de déchiffrement cruciale et sans elle, même les attaquants ne pourront pas restaurer les données affectées. L'emplacement par défaut du fichier est C:\ProgramData\ et le signe * pourrait plutôt être un nombre. La note précise également que la rançon devra être payée en utilisant la crypto-monnaie Bitcoin.
Si la note est fiable, les victimes sont également autorisées à envoyer quelques fichiers verrouillés à déchiffrer gratuitement.Cependant, les fichiers choisis doivent avoir une taille inférieure à 1 Mo et ne doivent contenir aucune information importante. Deux e-mails sont fournis comme canaux de communication : « openthefile@mailfence.com » et « openthefile@tutanota.com ».
Le texte intégral de la note de Extortionist Ransomware est:
' Tous vos fichiers ont été cryptés
Vous devez payer pour récupérer vos fichiers
1-Allez dans le dossier C:\ProgramData\ et envoyez-nous le fichier prvkey*.txt.key , * peut être un nombre (comme ceci : prvkey3.txt.key)
2-Vous pouvez envoyer un fichier de moins de 1 Mo pour que le test de décryptage nous fasse confiance, mais le fichier de test ne doit pas contenir de données précieuses
3-Le paiement devrait être avec Bitcoin
4-Changer Windows sans enregistrer le fichier prvkey.txt.key entraînera une perte de données permanenteNotre e-mail : openthefile@mailfence.com
en cas de non réponse : openthefile@tutanota.com '
