LordOfShadow Ransomware

LordOfShadow Ransomware est un cheval de Troie dont le but est de chiffrer vos données, il a été annoncé le 20 octobre 2017. LordOfShadow Ransomware est basé sur le fameux code source HiddenTear, utilisé par de nombreux chevaux de Troie de type ransomware. LordOfShadow Ransomware est considéré comme une crypto-menace générique qui est presque identique à ViiperWaRe Ransomware et à Ordinal Ransomware.

En quoi LordOfShadow Ransomware est-il différent des autres menaces basées sur HT?

Le libre accès de HiddenTear sur le Dark Web signifie que n'importe qui peut télécharger une copie de HT et la modifier comme il veut. La plupart des variantes proposent des communications serveur « Command and Control » personnalisées, couches d'obfuscation légèrement différentes, extensions de type marque et certains peuvent utiliser des portails de paiement TOR comme couche supplémentaire pour masquer l'origine de l'attaque. LordOfShadow Ransomware se trouve principalement sur les machines au Brésil et au Portugal.

LordOfShadow Ransomware n'est pas différent, il utilise le suffixe '.lordofshadow' pour marquer les fichiers cryptés. Par exemple, 'Indian meal moth.png' est renommé 'Indian meal moth.png.lordofshadow'. LordOfShadow Ransomware est censé crypter des photos, de la musique, des vidéos, des bases de données, des documents de bureau, des livres électroniques et des fichiers PDF enregistrés localement. La menace est programmée pour utiliser une paire de clés de chiffrement AES et RSA pour rendre les données sur les périphériques compromis inaccessibles. Ensuite, LordOfShadow Ransomware charge l'application de bureau Notepad de Microsoft et présente 'LEIA_ME.txt' ('READ_ME.txt') à l'utilisateur. Le message en original se lit comme suit:

'Seus arquivos foram Sequestrados!
Entre em contato para recuperar seus arquivos
lordashadow@gmail.com'

Traduit en français:

'Vos fichiers ont été détournés!
Contactez-nous pour récupérer vos fichiers
lordashadow@gmail.com'

Les utilisateurs compromis ne doivent pas écrire à Lordashadow@Gmail.com

Il est peut-être possible d'engager des négociations avec l'équipe de LordOfShadow Ransomware en écrivant à 'lordashadow@gmail.com,' mais ce n'est pas une bonne idée. Les experts en cybersécurité avertissent que les opérateurs de la menace qui signalent que vous avez des données importantes cryptées, peuvent exiger des paiements absurdes des utilisateurs. La meilleure façon d'éviter le contact avec les escrocs informatiques et de récupérer vos informations perdues consiste à utiliser des images de sauvegarde et des disques de récupération système. Vous devrez d'abord nettoyer votre système à l'aide d'un scanner anti-malware de bonne réputation. Les services de stockage en mémoire basés sur le cloud tels que Google Drive, Mega, OneDrive de Microsoft et Dropbox peuvent vous aider à protéger vos données importantes. Les instruments antivirus peuvent marquer les objets utilisés par LordOfShadow Ransomware comme:

• Trojan.Ransom.HiddenTear.H
• Trojan/Win32.Agent.C951401
• TR/ATRAPS.icuom
• malicious_confidence_100% (W)
• Win.Trojan.Agent-6353254-0
• W32/S-9f9d40c6!Eldorado
• MSIL.Trojan-Ransom.Cryptear.C
• Ransomware-FTD!7F5828881465
• Ransom_HIDDENTEARLOS.A