Multi-License Discount Quote
Données concernant les menaces Ransomware FORCER Ransomware

FORCER Ransomware

Par Mezo en Ransomware
Se traduisent par :
Français

Lors d'un examen des menaces potentielles de logiciels malveillants, les chercheurs ont découvert le FORCE Ransomware. Une fois qu'il infiltre un appareil, FORCE lance le cryptage de différents types de fichiers, notamment des images, des documents, des feuilles de calcul et bien plus encore. L'objectif des attaquants est de prendre en otage les données cryptées et de contraindre les victimes concernées à payer pour leur décryptage. Pour identifier les victimes et établir la communication, le ransomware ajoute des identifiants uniques, les adresses e-mail des cybercriminels et une extension « .FORCE » aux noms de fichiers cryptés. Par exemple, un fichier initialement nommé « 1.png » serait transformé en « 1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE ».

Une fois le processus de cryptage terminé, le système affiche des demandes de rançon identiques dans deux formats : une fenêtre contextuelle (« info.hta ») et un fichier texte (« info.txt »). Ces messages apparaissent sur le bureau et dans tous les répertoires contenant des fichiers cryptés. Une analyse plus approfondie a révélé que FORCE appartient à la famille Phobos Ransomware .

Le ransomware FORCE extorque de l’argent aux victimes

Les demandes de rançon émises par FORCE soulignent que les fichiers de la victime ont été cryptés et que les données sensibles ont été compromises. Pour prétendument retrouver l’accès à ses fichiers, la victime est invitée à payer une rançon en utilisant uniquement la crypto-monnaie Bitcoin. Le non-respect des exigences énumérées entraînera la vente des informations volées. Avant d'effectuer un paiement, la victime a la possibilité de tester gratuitement le processus de décryptage, mais avec certaines limitations.

Les messages mettent en garde contre la modification des fichiers cryptés ou l'utilisation d'outils de récupération tiers, car de telles actions pourraient rendre les données irrécupérables. De plus, la victime est avertie que le recours à l’aide de tiers pourrait aggraver ses pertes financières.

Le FORCE Ransomware prend des mesures pour empêcher la récupération facile des données verrouillées

Ce programme menaçant, qui fait partie de la famille Phobos Ransomware, est connu pour son approche méthodique du cryptage. Contrairement à certaines variantes de ransomware qui rendent les machines infectées complètement inutilisables, le malware Phobos cible sélectivement les fichiers à chiffrer, évitant ainsi les fichiers système critiques pour garantir que le système reste fonctionnel. Il crypte à la fois les fichiers stockés localement et ceux partagés sur les réseaux et met fin aux processus associés aux fichiers ouverts pour empêcher les exemptions basées sur les fichiers « en cours d'utilisation », tels que les programmes de base de données ou les lecteurs de fichiers texte.

Pour éviter le double cryptage, Phobos Ransomware maintient une liste d'exclusion des programmes de ransomware populaires. Les fichiers déjà verrouillés par un logiciel figurant sur cette liste ne sont pas affectés. De plus, Phobos supprime les Shadow Volume Copies, une option de récupération courante, pour contrecarrer davantage les tentatives de restauration des données.

Pour garantir la persistance sur les appareils infectés, le logiciel malveillant se copie dans le chemin %LOCALAPPDATA% et s'enregistre avec des clés d'exécution spécifiques, garantissant ainsi un démarrage automatique à chaque redémarrage du système. Il est intéressant de noter que le ransomware Phobos pourrait s’abstenir d’attaquer des appareils en fonction de leur géolocalisation, en particulier ceux situés dans des régions économiquement faibles ou dans des pays géopolitiquement alignés.

Le décryptage des données verrouillées par un ransomware sans l’intervention de cybercriminels est généralement impossible. Même si les victimes accèdent aux demandes de rançon, rien ne garantit qu’elles recevront les clés de décryptage ou les logiciels promis. Par conséquent, payer la rançon non seulement ne garantit pas la récupération des données, mais perpétue également les activités illégales.

Même si la suppression des ransomwares du système d’exploitation empêche un cryptage ultérieur, elle ne restaure pas les fichiers compromis. La seule solution fiable consiste à récupérer les fichiers à partir d’une sauvegarde si celle-ci est disponible.

Ne prenez pas de risques avec la sécurité de vos appareils et de vos données

Les utilisateurs peuvent renforcer la défense de leurs données et de leurs appareils contre les menaces de ransomware en mettant en œuvre une approche multicouche de la cybersécurité. Voici quelques stratégies efficaces :

  • Gardez les logiciels à jour : mettez régulièrement à jour les systèmes d'exploitation, les applications logicielles et les programmes antivirus pour corriger les vulnérabilités de sécurité et vous protéger contre les exploits connus. Activez les mises à jour automatiques autant que possible.
  • Installez un logiciel de sécurité digne de confiance : utilisez un logiciel anti-malware réputé pour détecter et supprimer les ransomwares et autres menaces nuisibles. Assurez-vous que le logiciel antivirus est mis à jour fréquemment pour reconnaître les dernières menaces.
  • Faites preuve de vigilance avec les pièces jointes et les liens des e-mails : Méfiez-vous des e-mails suspects, en particulier ceux provenant d'expéditeurs inconnus ou contenant des pièces jointes ou des liens inattendus. Essayez de ne pas accéder aux liens ni télécharger de pièces jointes à partir d'e-mails non sollicités, car ils peuvent contenir des ransomwares ou d'autres logiciels malveillants.
  • Sauvegarder régulièrement les données : mettez en place une stratégie de sauvegarde robuste en sauvegardant régulièrement les données importantes sur un disque dur externe, un service de stockage cloud ou un périphérique de stockage en réseau (NAS). Assurez-vous que les sauvegardes sont stockées en toute sécurité et ne sont pas directement accessibles depuis le système principal pour éviter qu'elles ne soient cryptées par un ransomware.
  • Utilisez des mots de passe forts et uniques : créez des mots de passe forts et complexes pour tous les comptes et n'utilisez pas le même mot de passe sur plusieurs comptes. Envisagez la possibilité d'utiliser un gestionnaire de mots de passe réputé pour générer et stocker des mots de passe en toute sécurité.
  • Activer l'authentification à deux facteurs (2FA) : activez l'authentification à deux facteurs pour maximiser la sécurité de vos comptes. 2FA exige que les utilisateurs incluent une deuxième forme de vérification, comme leur mot de passe ou un code envoyé à leur appareil mobile.
  • Éduquer les utilisateurs : informez-vous et informez les autres sur les dangers des ransomwares et sur la manière de reconnaître et d'éviter les menaces potentielles. Formez les employés aux pratiques efficaces en matière de cybersécurité, notamment sur la manière de reconnaître les e-mails de phishing et les sites Web suspects.
  • Limiter les privilèges des utilisateurs : restreindre les privilèges des utilisateurs à ce qui est nécessaire à leur fonction. Limiter les autorisations des utilisateurs peut aider à empêcher les ransomwares de se propager latéralement sur les réseaux et d’accéder aux données sensibles.

    • En adoptant ces mesures proactives, les utilisateurs peuvent réduire les risques d'être victimes d'attaques de ransomware et mieux protéger leurs données et leurs appareils de manière significative.

    La demande de rançon déposée par FORCE Ransomware est :

    'Your files are encrypted.

    AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
    Write to e-mail: data199@mailum.com
    Write this ID in the title of your message -
    Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
    You can download TOX messenger here hxxps://tox.chat/
    Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

    Free decryption as guarantee
    Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
    I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

    How to obtain Bitcoins
    Contact me and I will give you instructions on how to purchase bitcoins.

    Attention!
    Do not rename encrypted files.
    Do not try to decrypt your data using third party software, it may cause permanent data loss.
    Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
    The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'

    Posts relatifs

    Tendance

    Le plus regardé

    Chargement...