Remises multi-licences
Threat Database Ransomware Intel Ransomware

Intel Ransomware

Par Mezo en Ransomware
Se traduisent par :
Français

Les chercheurs ont découvert une nouvelle souche de ransomware connue sous le nom d'Intel Ransomware. Ce logiciel menaçant infiltre les appareils, crypte les données stockées et exige une rançon en échange du prétendu décryptage des informations compromises.

Notamment, les fichiers affectés par le ransomware Intel subissent un processus de renommage. Les noms de fichiers d'origine sont complétés par un identifiant unique attribué à la victime, suivi de « .[intellent@ai_download_file] » et terminé par l'extension « .intel ». A titre d'illustration, un fichier initialement étiqueté '1.jpg' serait transformé en '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel' après cryptage.

Une fois le processus de cryptage terminé, les victimes rencontrent des demandes de rançon présentées à la fois dans une fenêtre contextuelle et sous forme de fichiers texte nommés « README !.txt ». Ces fichiers texte sont déposés dans chaque dossier crypté et sur le bureau du système. L'analyse du contenu de la demande de rançon révèle que Intel Ransomware cible spécifiquement les entreprises et utilise des tactiques de double extorsion. De plus, ce programme menaçant est affilié à la famille Dharma Ransomware .

Le ransomware Intel empêche les victimes d'accéder à leurs propres données

Intel Ransomware démontre une approche globale en cryptant les fichiers locaux et partagés sur le réseau tandis que les fichiers système cruciaux ne sont pas affectés pour éviter de rendre le système non opérationnel. Il utilise notamment une stratégie pour éviter le double cryptage en excluant les fichiers verrouillés par d'autres ransomwares. Cependant, cette méthode n’est pas infaillible, car elle repose sur une liste prédéfinie qui peut ne pas englober toutes les variantes connues du ransomware.

De plus, le malware Intel fait preuve de sophistication dans son fonctionnement en fermant les processus associés aux fichiers qui pourraient être ouverts, tels que les lecteurs de fichiers texte et les programmes de bases de données. Cette mesure proactive vise à prévenir les conflits pour les fichiers jugés « en cours d'utilisation », en garantissant qu'ils ne soient pas exemptés du chiffrement.

La famille de ransomwares Dharma, à laquelle appartient le malware Intel, utilise des tactiques stratégiques d'infiltration et de persistance. Cela inclut la désactivation du pare-feu pour faciliter l’infiltration et échapper à la détection. De plus, les techniques garantissant la persistance impliquent :

    • Copie du malware vers le chemin %LOCALAPPDATA%.
    • En l'enregistrant avec des clés d'exécution spécifiques.
    • Configuration du lancement automatique du ransomware après chaque redémarrage du système.

Un aspect notable des attaques du Dharma est leur potentiel d’actions ciblées. Les programmes associés à cette famille peuvent collecter des données de géolocalisation, permettant ainsi des exceptions dans leurs attaques. Cette adaptabilité implique que les infections peuvent avoir des motivations politiques ou géopolitiques, ou qu’elles peuvent délibérément éviter des victimes peu susceptibles de répondre aux demandes de rançon, en particulier dans les régions aux conditions économiques faibles.

Pour entraver davantage les efforts de récupération, Intel Ransomware peut supprimer les clichés instantanés de volumes, entravant ainsi la restauration des versions précédentes des fichiers. Sur la base de recherches approfondies sur les infections par ransomware, il est évident que le décryptage sans l’intervention des attaquants constitue généralement un défi insurmontable.

Le ransomware Intel utilise des tactiques de double extorsion

Le contenu du fichier texte sert de brève notification à la victime, lui indiquant que ses données ont été cryptées et collectées. Il invite la victime à établir une communication en envoyant un e-mail aux attaquants.

En revanche, le message contextuel fournit des informations plus détaillées sur l'infection par le ransomware. Il réitère les aspects du cryptage et du vol de données, soulignant l’urgence de la situation. La demande de rançon émet un avertissement strict selon lequel le fait de ne pas contacter les cybercriminels dans les 24 heures ou de refuser de se conformer à la demande de rançon entraînera la divulgation du contenu volé sur le dark web ou sa vente à des concurrents de l'entreprise de la victime.

Pour démontrer la possibilité de récupération, le message propose un test de décryptage gratuit à effectuer sur un seul fichier. La victime est également explicitement informée que solliciter l’aide d’entreprises de recouvrement pourrait entraîner des pertes financières supplémentaires, car ces intermédiaires imposent généralement des frais qui s’ajoutent au montant de la rançon.

Cependant, on observe fréquemment que les victimes, même après avoir accédé aux demandes de rançon, ne reçoivent pas les clés de décryptage ou les logiciels promis. Même si les conditions de rançon sont remplies, il n’y a aucune garantie de récupération des fichiers. Par conséquent, les chercheurs déconseillent fortement de payer la rançon, car non seulement elle ne garantit pas la récupération des fichiers, mais elle perpétue et soutient également les activités criminelles. En outre, il est essentiel de comprendre que même si la suppression des ransomwares peut empêcher le cryptage ultérieur des données, le processus de suppression ne restaure pas automatiquement les fichiers précédemment compromis.

Intel Ransomware affiche la demande de rançon suivante sous forme de fenêtre contextuelle :

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Si vous ne nous écrivez pas dans les 24 heures, nous commencerons à publier et à vendre vos données sur le darknet sur des sites de hackers et proposerons les informations à vos concurrents.
envoyez-nous un e-mail : intellent.ai@onionmail.org VOTRE ID -
Si vous n'avez pas reçu de réponse dans les 24 heures, écrivez à cet e-mail : intellent.ai@onionmail.org

UNE INFORMATION IMPORTANT!
Gardez à l'esprit qu'une fois que vos données apparaissent sur notre site de fuite, elles pourraient être achetées par vos concurrents à tout moment, alors n'hésitez pas longtemps. Plus tôt vous paierez la rançon, plus vite votre entreprise sera en sécurité.
nous avons examiné tous vos rapports et les revenus de votre entreprise.
Garantie : Si nous ne vous fournissons pas de décrypteur ou ne supprimons pas vos données après votre paiement, personne ne nous paiera à l'avenir. Nous valorisons notre réputation.
Clé de garantie : Pour prouver que la clé de déchiffrement existe, nous pouvons tester gratuitement le fichier (et non la base de données et la sauvegarde).
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte permanente de données.
Ne vous adressez pas à des sociétés de récupération - ce ne sont essentiellement que des intermédiaires. Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation des prix (ils ajoutent leurs frais aux nôtres), nous sommes les seuls à disposer des clés de décryptage.

Les fichiers texte créés par Intel Ransomware contiennent le message suivant :

Vos données ont été volées et cryptées !

Envoyez-nous un email

intellent.ai@onionmail.org'

Posts relatifs

Tendance

Le plus regardé

Chargement...