Devis de remise multi-licences
Données concernant les menaces Ransomware FIND Ransomware

FIND Ransomware

Par Mezo en Ransomware
Se traduisent par :

Protéger ses appareils contre les logiciels malveillants est devenu une nécessité plutôt qu'un choix. Les cybercriminels continuent de perfectionner leurs tactiques, créant des souches de rançongiciels de plus en plus complexes, conçues pour exploiter les failles de sécurité, même mineures. FIND Ransomware, une variante récemment découverte de la célèbre famille Dharma, illustre la sophistication et la persistance des opérations de rançongiciels modernes.

À l’intérieur de l’attaque du ransomware FIND

Le rançongiciel FIND opère avec la même efficacité impitoyable qui a fait de Dharma l'une des familles de rançongiciels les plus actives. Une fois exécuté, le logiciel malveillant commence à chiffrer les fichiers de la victime, les rendant inaccessibles. Ce faisant, il renomme chaque fichier en ajoutant l'identifiant unique de la victime, une adresse e-mail contrôlée par l'attaquant et l'extension « .FIND ». Par exemple, il renomme « 1.png » en « 1.png.id-9ECFA84E.[findourtxt@tuta.io ».
].FIND.' Une autre variante observée de cette menace utilise à la place l'extension '. FIND5'.

Après le chiffrement, le rançongiciel transmet ses demandes via deux canaux : un message contextuel et une demande de rançon intitulée « info.txt ». Cette demande informe les victimes que leurs fichiers ont été chiffrés et leur demande de contacter les attaquants via l'une des deux adresses e-mail suivantes : « findourtxt@tuta.io » ou « findourtxt@mailum.com » en utilisant l'identifiant qui leur a été attribué.

La demande de rançon affirme également que certaines données de la victime ont été exfiltrées et prévient que le non-respect de cette demande entraînera la vente ou le partage des informations volées avec des tiers. Elle décourage également les victimes de renommer des fichiers ou de tenter de déchiffrer des données à l'aide d'outils tiers, prétextant que de telles actions pourraient entraîner une perte définitive de données ou des demandes de rançon plus élevées.

Comment fonctionne le ransomware FIND

Comme les autres variantes de Dharma, le rançongiciel FIND suit un processus d'infection en plusieurs étapes conçu pour maximiser son impact et sa persistance. Une fois actif sur un système, le logiciel malveillant chiffre les fichiers sur les disques locaux et réseau, ciblant un large éventail de types de données et supprimant même les clichés instantanés de volume pour empêcher toute récupération facile.

Il altère également les paramètres système en désactivant le pare-feu Windows, en établissant une persistance en plaçant des copies de lui-même dans le répertoire %LOCALAPPDATA% et en ajoutant des entrées dans les clés de registre Run. De plus, certaines variantes basées sur Dharma collectent des données de localisation et peuvent exclure du chiffrement des dossiers ou lecteurs système spécifiques, probablement pour des raisons opérationnelles ou stratégiques.

Vecteurs d’infection et canaux de distribution

Le rançongiciel FIND, comme ses prédécesseurs, se propage par une combinaison de méthodes trompeuses et opportunistes. Les cybercriminels utilisent des campagnes d'hameçonnage, des pièces jointes malveillantes et des liens frauduleux intégrés aux e-mails pour inciter les utilisateurs à lancer l'infection. Parmi les autres méthodes de propagation courantes, on peut citer :

  1. Téléchargements furtifs à partir de sites Web compromis ou malveillants.
  2. Installation via des logiciels piratés, de fausses mises à jour ou des applications crackées.
  3. Exploitation de vulnérabilités logicielles non corrigées et de configurations faibles du protocole RDP (Remote Desktop Protocol).
  4. Publicités malveillantes, réseaux P2P et lecteurs amovibles infectés (USB).

Une fois installé, FIND crypte les données critiques et exige un paiement, souvent en crypto-monnaie, pour fournir une clé de décryptage — bien qu'il n'y ait aucune garantie que le paiement conduise à une récupération réussie.

Meilleures pratiques de sécurité pour rester protégé

Se défendre contre les rançongiciels comme FIND nécessite une approche proactive et multidimensionnelle. Les utilisateurs et les organisations peuvent réduire considérablement le risque d'infection en adoptant les pratiques essentielles suivantes :

  1. Renforcer la sécurité des appareils et du réseau :
  • Mettez régulièrement à jour les systèmes d’exploitation, les navigateurs et les logiciels pour corriger les vulnérabilités connues.
  • Configurez des pare-feu et des outils antivirus pour détecter et bloquer les activités suspectes.
  • Désactivez l'accès RDP s'il n'est pas nécessaire ou limitez-le à l'aide de mots de passe forts, d'une authentification multifacteur et d'une liste blanche IP.
  1. Adoptez des habitudes de navigation et de courrier électronique sécurisées :
  • Évitez d’ouvrir des pièces jointes non sollicitées ou de cliquer sur des liens provenant d’expéditeurs inconnus.
  • Téléchargez des logiciels uniquement à partir de sources fiables et évitez les torrents ou les programmes crackés.
  • Soyez prudent lorsque vous répondez à des messages « urgents » ou « d’alerte de sécurité » inattendus.
  1. Maintenir des sauvegardes fiables :
  • Conservez des sauvegardes hors ligne ou dans le cloud des données essentielles.
  • Assurez-vous que les périphériques de sauvegarde sont déconnectés après utilisation pour éviter le chiffrement lors d'une attaque.
  1. Éduquer et préparer :
  • Formez tous les utilisateurs à identifier les tentatives de phishing et les comportements malveillants.
  • Élaborez un plan de réponse aux incidents décrivant des étapes claires pour isoler les systèmes infectés et restaurer les opérations.

Réflexions finales

Le rançongiciel FIND représente une nouvelle évolution de la famille Dharma, persistante et destructrice. En chiffrant des données précieuses, en altérant les paramètres de sécurité et en exerçant une pression psychologique via des demandes de rançon, ce logiciel malveillant représente une menace sérieuse pour les particuliers comme pour les organisations.

Maintenir une hygiène de cybersécurité rigoureuse, rester vigilant face aux activités suspectes en ligne et effectuer des sauvegardes régulières des données restent les défenses les plus efficaces contre ces menaces de ransomware.

System Messages

The following system messages may be associated with FIND Ransomware:

All your files has been encrypted!
Don't worry, you can return all your files!
If you want to restore them, contact us: findourtxt@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:findourtxt@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)
Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties.
Financial implications: The threat of data breach could result in significant fines and legal action.
Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work.
We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom message in the text file:
Text in this file:

All your data has been encrypted.

For decryption contact:

findourtxt@tuta.io or findourtxt@mailum.com

Posts relatifs

Tendance

Version de l'arnaque « Votre boîte aux lettres sera...

Hameçonnage, Courrier indésirable
Les escrocs en ligne développent constamment de nouvelles astuces pour tromper les utilisateurs et voler des données précieuses. L'arnaque « La version de votre boîte aux lettres sera supprimée » en est un exemple : une campagne d'hameçonnage conçue pour récupérer les identifiants de connexion de victimes peu méfiantes. Les experts en cybersécurité préviennent que ces messages...

Le plus regardé

Chargement...