LIZARD Ransomware
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Classement : le classement d'une menace particulière dans la base de données des menaces d'EnigmaSoft.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Niveau de menace: | 100 % (Haute) |
| Ordinateurs infectés : | 12 |
| Vu la première fois: | July 24, 2009 |
| Vu pour la dernière fois : | April 19, 2021 |
| Systèmes d'exploitation concernés: | Windows |
L'analyse du LIZARD Ransomware a montré que la menace est pratiquement identique au malware LANDSLIDE Ransomware. Les principaux aspects qui distinguent le LIZARD Ransomware du LANDSLIDE Ransomware sont les deux adresses e-mail utilisées comme canal de communication et l'extension de fichier ajoutée aux noms de tous les fichiers cryptés.
Les utilisateurs infectés par le LIZARD Ransomware constateront que presque tous leurs fichiers stockés sur l'ordinateur compromis ont maintenant des noms radicalement différents. En effet, la menace ransomware utilise un modèle de dénomination complexe pour les fichiers qu'elle affecte. Tout d'abord, devant le nom d'origine, il place une adresse e-mail - «DeathSpicy@yandex.ru», suivie d'une chaîne de caractères représentant l'identifiant unique attribué à la victime. En même temps, «.LIZARD» sera ajouté en tant que nouvelle extension de fichier. À la fin du processus de cryptage, LIZARD Ransomware crée deux fichiers - «# ReadThis.HTA» et «# ReadThis.TXT», contenant le texte de la note de rançon de la menace.
Les victimes du LIZARD Ransomware sont informées qu'elles devront payer une rançon en utilisant Bitcoin pour recevoir l'outil de décryptage des pirates. La note ne mentionne pas le montant exact exigé par les criminels. Avant d'effectuer le paiement, les utilisateurs concernés ont la possibilité d'envoyer gratuitement un seul fichier d'une taille comprise entre 100 et 200 Ko à déchiffrer. Pour ce faire, ils doivent envoyer un message à l'adresse e-mail également présente dans les noms des fichiers chiffrés. Si 24 réussit sans obtenir de réponse, les utilisateurs doivent passer à la messagerie d'une adresse e-mail de réserve à «DeathSpicy@tutanota.com».
Le texte complet de la note de LIZARD Ransomware est:
'Votre SERVEUR / ORDINATEUR est crypté par nous! _
Bonjour Admin / Invité!
[ENCRYPTER] => Toutes vos données sont cryptées par nos soins.
[ENCRYPTER] => Votre ID unique de serveur: [-]
[ENCRYPTER] => Voulez-vous déchiffrer vos données?
[ENCRYPTER] => Pour nous faire confiance, envoyez-nous d'abord un fichier de 100 à 200 Ko,
nous allons le déchiffrer pour établir la confiance pour vous.
[AFTERTRUST] => Que devez-vous faire après avoir instauré la confiance?
Aidez-moi
(
Toutes vos données sont cryptées,
Si vos données sont importantes et que vous souhaitez les décrypter,
Vous devez payer le montant en bitcoin que nous avons défini,
Envoyez d'abord un message à nos e-mails, après le prix, nous et votre confiance,
Faites une recherche Google pour acheter des bitcoins,
Par exemple: "Achetez des bitcoins en roubles".
Après avoir acheté Bitcoin, vous devez
transférer le Bitcoin dans notre portefeuille,
Après paiement, l'outil de décryptage vous sera envoyé
et comment l'exécuter correctement
)
ENCRYPTER @ server ~ $ Pour nous contacter, envoyez d'abord un message à notre premier email.
[Courriel FiRsT:] DeathSpicy@yandex.ru
ENCRYPTER @ server # Si votre email ne reçoit pas de réponse après 24 heures, notre email peut être bloqué.
Alors envoyez un message à notre deuxième e-mail.
[Courriel SeCoNd:] DeathSpicy@tutanota.com
Roi de la rançon
LIZARD Ran $ omW4rE. '
Pseudonymes
4 fournisseurs de sécurité ont signalé ce fichier comme malveillant.
| Logiciel antivirus | Détection |
|---|---|
| McAfee-GW-Edition | Trojan.Clicker.Delf.CT |
| Ikarus | Trojan-Clicker.Delf.CT |
| AntiVir | TR/Clicker.Delf.CT |
| a-squared | Trojan-Clicker.Delf.CT!IK |
Détails des fichiers système
| # | Nom de fichier | MD5 |
Détections
Détections : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
|
|---|---|---|---|
| 1. | diskperff.dll | 0be52be18a8508b65f33e704b3e63242 | 0 |
