Lsas Ransomware
Il semble que les cybercriminels utilisent toujours le tristement célèbre Dharma Ransomware pour créer de nouvelles menaces de logiciels malveillants afin d'infecter les ordinateurs des utilisateurs. La dernière variante issue de cette famille de logiciels malveillants est suivie par des experts d'infosec sous le nom de Lsas Ransomware. Bien qu'il s'agisse d'une variante sans aucune amélioration significative par rapport aux autres variantes du Dharma, la capacité du Lsas Ransomware à provoquer la destruction ne doit pas être sous-estimée.
Une fois déployé sur les systèmes compromis, le Lsas Ransomware lancera un processus de cryptage fort qui verrouillera de nombreux fichiers qui y sont stockés. Un large éventail de types de fichiers sera rendu inutilisable. Les victimes n'auront plus accès à leurs documents, archives, bases de données, PDF et plus encore.
Pendant le processus de cryptage, chaque fichier affecté aura une chaîne d'identification unique, une adresse e-mail et une nouvelle extension de fichier ajoutée à son nom d'origine. L'e-mail spécifique utilisé par la menace est "sekurlsa@ml1.net" tandis que l'extension de fichier est ".lsas". Après avoir terminé sa tâche menaçante, la menace laissera tomber deux messages de demande de rançon des attaquants.
Détails de la note de rançon
Suivant le comportement typique du Dharma, le Lsas Ransowmare remet également deux notes de rançon différentes à ses victimes. Tout d'abord, la menace crée un fichier texte nommé « FILES ENCRYPTED.txt ». Il ne contient que quelques phrases qui orientent les utilisateurs vers les deux adresses e-mail des pirates : « sekurlsa@ml1.net » et « sekurlsa@mm.st. »Cependant, l'ensemble principal d'instructions sera présenté dans une fenêtre contextuelle. Il révèle que le paiement de la rançon doit être effectué à l'aide de la crypto-monnaie Bitcoin et que les utilisateurs sont autorisés à envoyer un seul fichier à déchiffrer gratuitement.Cependant, le fichier choisi doit avoir une taille inférieure à 1 Mo et ne doit contenir aucune donnée importante.
Le texte intégral affiché dans la fenêtre contextuelle est :
« Tous vos fichiers ont été cryptés !
Tous vos fichiers ont été cryptés en raison d'un problème de sécurité avec votre PC. Si vous souhaitez les restaurer, écrivez-nous à l'e-mail sekurlsa@ml1.net
Écrivez cet identifiant dans le titre de votre message 1E857D00
En cas de non réponse dans les 24 heures écrivez-nous à ces e-mails:sekurlsa@mm.st
Vous devez payer pour le décryptage en Bitcoins. Le prix dépend de la rapidité avec laquelle vous nous écrivez. Après le paiement, nous vous enverrons l'outil de décryptage qui décryptera tous vos fichiers.
Décryptage gratuit comme garantie
Avant de payer, vous pouvez nous envoyer jusqu'à 1 fichier pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 1 Mo (non archivé) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, grandes feuilles Excel, etc.)
Comment obtenir des Bitcoins
Le moyen le plus simple d'acheter des bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquer sur « Acheter des bitcoins » et sélectionner le vendeur par mode de paiement et par prix.
https://localbitcoins.com/buy_bitcoins
Vous pouvez également trouver d'autres endroits pour acheter des Bitcoins et un guide pour débutants ici :
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation des prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque. '
Le fichier texte contient le message suivant :
' toutes vos données nous ont été verrouillées
Vous voulez revenir ?
'Écrire un e-mail à sekurlsa@ml1.net ou sekurlsa@mm.st '
