Gilfillan Ransomware
Le Gilfillan Ransomware a été identifié comme une variante issue de la famille de logiciels malveillants VOidCrypt. Cependant, ce fait ne diminue pas la capacité de la menace à causer des dommages importants aux ordinateurs et aux appareils qu'elle parvient à infecter. En effet, la routine de chiffrement du Gilfillan Ransomware est suffisante pour impacter une large gamme de types de fichiers et les laisser dans un état complètement inutilisable.
De plus, les victimes remarqueront que chaque fichier concerné a vu son nom d'origine modifié de manière significative. La menace génère une chaîne d'identification pour chaque victime et l'ajoute aux noms des fichiers verrouillés. A sa suite se trouve une adresse e-mail contrôlée par les attaquants. Enfin, une nouvelle extension de fichier - '.Gilfillan.' sera annexé. Les instructions pour les utilisateurs concernés seront livrées aux systèmes sous deux formes différentes - sous la forme d'un fichier texte nommé "Decryption-Guide.txt" et d'un fichier "Decryption-Guide.HTA".
Détails de la note de rançon
Les messages demandant une rançon dans les deux sources sont complètement identiques. Ils informent les victimes que les fichiers verrouillés peuvent toujours être restaurés, mais uniquement via l'outil de décryptage et la clé que possèdent les attaquants. Pour les obtenir, les victimes doivent payer une rançon dont le prix exact fait l'objet de négociations. En tant que canal de communication potentiel, les pirates fournissent une seule adresse e-mail - "PaulGilfillan@cyberfear.com". Attaché au message doit être un fichier créé par le Gilfillan Ransomware sur les systèmes compromis. Le nom du fichier peut être similaire à « KEY-SE-24r6t523 » ou « RSAKEY.KEY » et doit généralement se trouver dans le répertoire C:/ProgramData. Sans les informations contenues dans ce fichier, même les pirates ne pourront pas terminer le décryptage des données des victimes.
L'ensemble des instructions laissées par Gilfillan Ransomware est :
' Vos fichiers ont été verrouillés
Vos fichiers ont été cryptés avec un algorithme de cryptographie
Si vous avez besoin de vos fichiers et qu'ils sont importants pour vous, ne soyez pas timide Envoyez-moi un e-mail
Envoyez le fichier de test + le fichier de clé sur votre système (exemple de fichier existant dans C:/ProgramData : KEY-SE-24r6t523 ou RSAKEY.KEY) pour vous assurer que vos fichiers peuvent être restaurés
Faites un accord sur le prix avec moi et payez
Obtenez l'outil de décryptage + la clé RSA ET l'instruction pour le processus de décryptage
Attention:
1- Ne renommez pas ou ne modifiez pas les fichiers (vous risquez de perdre ce fichier)
2- N'essayez pas d'utiliser des applications tierces ou des outils de récupération (si vous voulez le faire, faites une copie à partir de fichiers et essayez-les et perdez votre temps)
3-Ne réinstallez pas le système d'exploitation (Windows) Vous risquez de perdre le fichier clé et de perdre vos fichiers
4-Ne faites pas toujours confiance aux intermédiaires et aux négociateurs (certains d'entre eux sont bons mais certains d'entre eux sont d'accord sur 4000usd par exemple et ont demandé 10000usd au client) cela s'est produitVotre numéro de dossier :
Notre e-mail : PaulGilfillan@cyberfear.com .'
