Ior Ransomware

Les attaques de ransomwares étant de plus en plus sophistiquées et destructrices, il n’a jamais été aussi crucial de protéger vos appareils contre les menaces dangereuses. Ces attaques peuvent crypter vos données, perturber les opérations commerciales et extorquer de l’argent aux victimes, souvent sans garantie de récupération des données. La récente découverte du ransomware Ior met en évidence la menace persistante que représentent les familles de ransomwares modernes. Comprendre le fonctionnement du ransomware Ior et mettre en œuvre des mesures de sécurité rigoureuses peut réduire considérablement le risque d’être victime de telles attaques.

Le ransomware Ior : une nouvelle menace dans la famille Dharma

Le ransomware Ior appartient à la célèbre famille Dharma Ransomware , qui a la réputation de cibler aussi bien les entreprises que les particuliers. Une fois qu'Ior infecte un système, il crypte rapidement les fichiers et les renomme en utilisant le format filename.id-[ID STRING].[attacker's email].ior. Par exemple, « document.pdf » serait renommé « document.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior », verrouillant le fichier et le rendant inaccessible à l'utilisateur.

Le ransomware Ior laisse derrière lui deux types de notes de rançon :

• Une fenêtre pop-up qui informe immédiatement la victime de l'attaque.
• Un fichier nommé « manual.txt », qui fournit des instructions détaillées sur la façon de restaurer les données cryptées.

Ces notes de rançon demandent à la victime de contacter les attaquants via les adresses e-mail fournies (jasalivan@420blaze.it ou ja.salivan@keemail.me) dans les 12 heures. La note propose également de décrypter jusqu'à trois fichiers (de moins de 3 Mo) comme preuve que le décryptage est possible. Cependant, les attaquants mettent en garde contre toute tentative de renommer des fichiers cryptés ou d'utiliser des outils de décryptage tiers, sous peine de perte permanente des données ou de coûts de décryptage plus élevés si ces actions sont entreprises.

Les méthodes d’attaque : comment le ransomware Ior infecte les systèmes

Le ransomware Ior est extrêmement menaçant non seulement en raison de ses capacités de cryptage de fichiers, mais également en raison de son approche agressive visant à désactiver les fonctions de sécurité et à garantir la persistance. Le malware :

• Chiffre les fichiers locaux et partagés sur le réseau, affectant non seulement l'ordinateur infecté mais également tous les périphériques ou systèmes de stockage connectés.
• Désactive le pare-feu du système, rendant l'appareil plus vulnérable à d'autres attaques.
• Supprime les copies de volume fantôme, ce qui empêche les utilisateurs de récupérer des fichiers à l'aide des points de restauration Windows intégrés.
• Il se copie dans le répertoire %LOCALAPPDATA% et s'enregistre avec les clés d'exécution de Windows, ce qui lui permet de redémarrer automatiquement lorsque le système redémarre.

De plus, le ransomware Ior est capable de collecter des données de localisation et d'exclure certains répertoires du cryptage, suggérant un niveau de personnalisation basé sur la stratégie de l'attaquant.

Vecteurs d’infection : comment le ransomware Ior est-il diffusé

Comme de nombreuses souches de ransomware de la famille Dharma, le ransomware Ior est souvent diffusé via des services RDP (Remote Desktop Protocol) vulnérables. Les cybercriminels exploitent les configurations RDP faibles, en utilisant des attaques par force brute ou par dictionnaire pour pirater des identifiants mal gérés. Cependant, ce n'est pas la seule façon dont Ior infecte les systèmes :

• Pièces jointes ou liens de courrier électronique corrompus : les courriers électroniques de phishing contenant des pièces jointes nuisibles ou des liens intégrés sont une méthode de diffusion courante des ransomwares.
• Vulnérabilités logicielles exploitées : les systèmes non corrigés sont des cibles privilégiées pour les ransomwares, car les attaquants peuvent exploiter les vulnérabilités connues des logiciels ou des systèmes d’exploitation obsolètes.
• Logiciels piratés : les logiciels téléchargés illégalement cachent souvent des logiciels malveillants, notamment des ransomwares, qui sont exécutés à l'insu des utilisateurs.
• Sites Web compromis : les utilisateurs peuvent être amenés à télécharger des logiciels malveillants via des publicités trompeuses, de faux téléchargements ou des sites Web compromis.
• Réseaux Peer-to-Peer (P2P) et téléchargeurs tiers : les fichiers non sécurisés peuvent facilement se propager via des plateformes de torrent ou des gestionnaires de téléchargement tiers dépourvus de contrôles de sécurité.

Meilleures pratiques de sécurité pour se défendre contre les ransomwares

Pour vous protéger des ransomwares Ior et autres cybermenaces, il est essentiel de suivre les meilleures pratiques de sécurité. En étant proactif et en prenant les bonnes précautions, vous pouvez réduire considérablement le risque d'être victime de ces attaques. Voici les étapes clés pour renforcer votre défense contre les ransomwares :

1. Sauvegardez régulièrement vos données : les sauvegardes fréquentes constituent votre meilleure défense contre les ransomwares. Assurez-vous que tous les fichiers fondamentaux sont sauvegardés sur un périphérique de stockage indépendant ou un service cloud déconnecté de votre système principal. De cette façon, si vos données sont cryptées, vous pouvez les restaurer sans avoir à payer la rançon.
2. Accès à distance sécurisé : si vous utilisez RDP ou d’autres services d’accès à distance, assurez-vous qu’ils sont configurés de manière sécurisée :

Désactivez RDP s'il n'est pas utilisé.

Utilisez des mots de passe forts et uniques pour les comptes avec accès à distance.

Activez l’authentification multifacteur (MFA) pour plus de sécurité.

Limitez l'accès RDP à des adresses IP spécifiques via un pare-feu ou un VPN.

1. Maintenez les systèmes et les logiciels à jour : les logiciels obsolètes sont souvent la cible d’attaques de ransomware. Assurez-vous que votre système d’exploitation, vos applications et votre logiciel anti-malware sont mis à niveau avec les derniers correctifs de sécurité. Automatisez les mises à jour lorsque cela est possible pour minimiser la fenêtre de vulnérabilité.
2. Déployez des solutions anti-ransomware : investissez dans un logiciel anti-malware réputé qui inclut une protection anti-ransomware. De nombreuses suites de sécurité modernes peuvent détecter les comportements suspects, tels que le chiffrement de fichiers ou les modifications non autorisées des paramètres système, et arrêter les ransomwares avant qu'ils ne causent des dommages.
3. Soyez prudent avec les e-mails : les e-mails de phishing restent l'un des moyens les plus efficaces pour les pirates de diffuser des ransomwares. Évitez de cliquer sur des pièces jointes ou des liens non sollicités. Vérifiez la légitimité des e-mails inattendus, même s'ils semblent provenir de sources fiables.
4. Utilisez des mots de passe forts et uniques : les mots de passe faibles constituent une vulnérabilité majeure dans les attaques de ransomware, en particulier celles impliquant des tactiques de force brute sur RDP. Utilisez des mots de passe forts et complexes et changez-les régulièrement. Envisagez l'utilisation d'un gestionnaire de mots de passe pour stocker et générer des mots de passe uniques pour différents comptes.
5. Désactiver les macros et limiter l'exécution des scripts : de nombreuses infections par ransomware commencent par des macros malveillantes dans des documents ou en exploitant des moteurs de script tels que PowerShell. Désactivez les macros par défaut et limitez l'exécution des scripts pour minimiser le risque d'infection.
6. Utilisez un pare-feu et une segmentation du réseau : un pare-feu peut bloquer tout accès non autorisé à votre système, et la segmentation du réseau peut réduire la propagation des ransomwares au sein d'une organisation. En isolant les systèmes critiques et en limitant l'accès au réseau, vous pouvez limiter les dégâts causés par une attaque.

Conclusion : Restez informé et préparé

Le ransomware Ior, comme d’autres membres de la famille Dharma, représente une menace sérieuse pour les particuliers comme pour les organisations. Sa capacité à crypter les données, à désactiver les fonctions de sécurité et à se propager sur les réseaux compromis en fait un adversaire redoutable. Cependant, en adoptant les meilleures pratiques décrites ci-dessus (sauvegardes régulières, mises à jour logicielles, contrôles d’accès à distance robustes et mots de passe forts), vous pouvez renforcer vos défenses et minimiser l’impact d’une attaque de ransomware. La clé pour rester en sécurité est une vigilance proactive et un engagement envers les meilleures pratiques en matière de cybersécurité.

La note de rançon affichée par le ransomware Ior sous forme de fenêtre contextuelle :

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Message des attaquants livré sous forme de fichier texte :

'You want to return?

write email jasalivan@420blaze.it or ja.salivan@keemail.me'