Gesd Ransomware

Les menaces de ransomware ont été parmi les plus malveillantes qui sévissent sur Internet en 2019. La famille STOP, en particulier, est responsable d'innombrables attaques depuis que les cyber-escrocs ont réussi à créer et à distribuer plus de 200 copies de ce cheval de Troie à verrouillage de fichiers. L'une des variantes les plus récentes du STOP Ransomware qui a été repérée par des experts s'appelle le Gesd Ransomware.

Propagation et chiffrement

Les menaces de ransomware sont souvent propagées via des campagnes de courrier électronique de spam, des traqueurs de torrent, de faux téléchargements et mises à jour d'applications, de faux logiciels et médias piratés, etc. Cependant, dans le cas du Gesd Ransomware, aucun vecteur d'infection particulier n'a encore été confirmé. Les attaquants peuvent utiliser l'une des méthodes énumérées ci-dessus ou une combinaison de diverses techniques. Le Gesd Ransomware veillera à localiser tous les fichiers d'intérêt une fois qu'il a réussi à pénétrer un système avec succès. Le Gesd Ransomware ne possède pas de nouvelles fonctionnalités par rapport à la plupart des variantes du STOP Ransomware. Pour verrouiller les données ciblées, le Gesd Ransomware appliquera un algorithme de cryptage qui rendra les fichiers inutilisables. Lors du verrouillage d'un fichier, le Gesd Ransomware ajoutera une extension «.gesd» au nom du fichier. Par exemple, un fichier initialement nommé «NBG.mp3» sera renommé «NBG.mp3.gesd» après avoir subi le processus de chiffrement du Gesd Ransomware.

La note de rançon

Suivant l'exemple de la plupart des copies du STOP Ransomware, le Gesd Ransomware déposera une note de rançon nommée '_readme.txt' sur le bureau de la victime. Dans la note, les attaquants soulignent plusieurs points majeurs:

• Si la victime parvient à contacter les agresseurs dans les 72 heures suivant l'attaque, les frais de rançon seront de 490 $.
• Si la victime ne respecte pas le délai fixé, le prix doublera et elle devra payer 980 $ si elle veut mettre la main sur la clé de déchiffrement dont elle a besoin.
• Deux adresses e-mail sont fournies comme moyen de communication avec les attaquants: «helprestore@firemail.cc» et «datarestore@iran.ir».

Les attaquants tenteront de vous convaincre que le seul moyen de récupérer vos données est de leur verser la somme demandée. Cependant, les auteurs de ransomwares tiennent rarement leur promesse, et même les utilisateurs qui paient sont souvent déçus lorsqu'ils n'obtiennent jamais la clé de déchiffrement promise. C'est pourquoi vous devriez envisager de télécharger et d'installer un outil anti-malware légitime qui vous aidera à supprimer le Gesd Ransomware de votre ordinateur et à protéger votre système à l'avenir.