LockOn Ransomware
LockOn Ransomware est un cheval de Troie qui chiffre vos fichiers, il a été signalé par experts de la cybersécurité le 9 octobre 2017. La charge utile de LockOn Ransomware est enregistrée pour se propager comme '[HOT][+18] CHECHER PORN.exe,' présentée aux utilisateurs comme une application indiquant les nouveaux matériaux pornographiques sur leurs plates-formes préférées. Cependant, le nom des fichiers sert uniquement d'appât pour les utilisateurs d'installer le cheval de Troie LockOn Ransomware sur leurs machines. Beaucoup de chercheurs croient que LockOn Ransomware est basé sur une version fortement modifiée du célèbre projet HiddenTear à partir d'août 2015. Une recherche plus approfondie est nécessaire pour confirmer leurs soupçons et l'analyse initiale suggère qu'il se comporte comme Sadly Ransomware et Kripto64 Ransomware. Les tests de laboratoire ont révélé que LockOn Ransomware est conçu pour cibler les types de formats les plus courants:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, .conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, .zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.
LockOn Ransomware est classé comme une menace cryptographique de niveau intermédiaire qui intègre des algorithmes de cryptage standard et qui ne diffère pas de la majorité des programmes que nous avons examinés jusqu'à présent. Les experts avertissent que LockOn Ransomware utilise une combinaison des algorithmes RSA et AES pour modifier les données stockées sur les systèmes compromis et mettre les utilisateurs dans une position où ils sont incapables d'accéder aux informations stockées. La note de rançon est présentée sous forme d'une fenêtre de programme précédée d'une boîte de notification indiquant que 'Vos fichiers ont été cryptés! ! :(.' La fenêtre de rançon est peinte dans les tons noirs, jaunes et gris et présente le texte suivant:
'Votre ordinateur vient d'être crypté par LockOn pour déverrouiller votre ordinateur et récupérer vos fichiers, veuillez payer la rançon à l'adresse bitcoin!
Voici les étapes:
1 - Aller à: h[tt]ps://www.localbitcoins[.]com
2 - Créer un compte
3 - Collecter la somme stipulée ci-dessous en bitcoins
4 - Envoyer à l'adresse bitcoins 1EhHaeQ5x8Q4wF62QwqRUfoFrbYo2PLR7c
5 - Vous recevrez une clé qui débloquera votre ordinateur!
Toute tentative de renverser le ransomware ou autre entraînera la destruction de l'ordinateur!'
Le même texte peut également être chargé en français, étant donné que l'utilisateur compromis a le choix de choisir la langue utilisée dans la fenêtre LockOn Ransomware. Les chercheurs en sécurité informatique conseillent aux utilisateurs concernés de rester calmes et de supprimer le cheval de Troie LockOn Ransomware à l'aide d'un scanner anti-malware crédible. Il est possible de récupérer de l'attaque en utilisant des images de sauvegarde, versions archivées de vos fichiers et images de récupération enregistrées sur lecteurs non mappés comme les clés USB. Les moteurs AV sont connus pour signaler les objets utilisés par LockOn Ransomware comme:
- Generic.Ransom.Hiddentear.A.8667D3F2
- Mal/Genasom-A
- Ransom.HiddenTear
- Ransom_HiddenTearLOCKON.A
- Trojan.Win32.Generic!BT
- Win32.Trojan-Ransom.Filecoder.P@ge
- malicious_confidence_90% (W)
- malware (ai score=99)
