Luxnut Ransomware
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Classement : le classement d'une menace particulière dans la base de données des menaces d'EnigmaSoft.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Niveau de menace: | 100 % (Haute) |
| Ordinateurs infectés : | 3 |
| Vu la première fois: | June 7, 2017 |
| Vu pour la dernière fois : | September 10, 2021 |
| Systèmes d'exploitation concernés: | Windows |
Luxan Ransomware est un cheval de Troie générique qui est basé sur la plate-forme EDA2. Le code EDA2 a été publié en ligne comme un exemple de « ransomware éducatif » qui ressemble beaucoup au projet HiddeTear auparavant. Il va sans dire que les extorqueurs informatiques ont découvert le potentiel d'EDA2 et ils se sont dépêchés de sauvegarder une copie pour « des fins liées au développement des affaires ». L'une des premières variantes basées sur EDA2, c'était FSociety Ransomware avec LockLock Ransomware publié l'année suivante. Maintenant, nous avons Luxan Ransomware, qui est presque identique à tous les chevaux de Troie cryptant basés sur EDA2.
Le concept de Luxans Ransomware est plutôt simple. Les auteurs du cheval de Troie ont modifié le code facilement disponible pour que la nouvelle version se connecte à un ensemble de serveurs « Command and Control », gère l'encodage du côté de la victime et dépose une note de rançon qui offre des services de déchiffrement en échange d'un paiement. Les mêmes principes de base sont suivis par des crypto-menaces de haut niveau comme Cerber 6 Ransomware et Spora Ransomware. Au moment de la recherche, Luxnut Ransomware est en cours de développement. Les chercherus de programmes malveillants ont récupéré des échantillons du cheval de Troie sur une plate-forme de sécurité en ligne. Évidemment, les créateurs de Luxnut Ransomware ont téléchargé une de leurs dernières versions pour vérifier si les scanners AV peuvent détecter le code corrompu qui se cache à l'intérieur. Une analyse plus approfondie sur le code a montré que le cheval de Troie analyse l'ordinateur pour les formats de fichier suivants:
Il semble que Luxan Ransomware ne cible pas de nombreux conteneurs de données, ce qui peut être une décision stratégique pour s'assurer que le cheval de Troie termine ses travaux rapidement avant être détecté par les outils AV. Les fichiers qui sont marqués pour être chiffrés reçoivent également une nouvelle extension. La version in-dev de Luxnut apporte le suffixe '.locked'. Par exemple, 'Northern Golden Orb Weaver spider.docx' est renommé 'Northern Golden Orb Weaver spider.docx.locked'. La note de rançon s'affiche sous forme d'une image d'arrière-plan coloré en noir qui contient du texte tapé en haut. Le message affiché par Luxnut Ransomware dit:
'Something, somewhere went terribly wrong.'
Il n'y a aucun élément de contact associé à Luxnut Ransomware au moment de la rédaction de cet article. Il est possible que le développeur du cheval de Troie na possède pas un serveur configuré et ajouter une configuration de serveur à l'échantillon soumis en ligne peut permettre aux fournisseurs AV de prendre des mesures préventives. Vous voudrez peut-être prendre des mesures pour améliorer vos défenses dans le cyberespace avant que Luxans Ransomware soit diffusé à l'aide des courriers indésirables aux utilisateurs. Vous pouvez installer un utilitaire de sauvegarde et un programme anti-virus qui comprend les dernières définitions de virus. Un exécutable nommé 'eda2.exe' reconnu comme partie de Luxnut Ransomware a été soumis pour analyse en ligne, et les scanners AV ont marqué le fichier comme suit:
- MSIL/Filecoder.Y!tr
- Ransom.EDA2
- Ransom_EDA2LUXNUT.A
- Ransomware-FTD!216DE5A1AAF7
- Troj/Cryptear-A
- Trojan ( 004cd5d01 )
- Trojan.Agent!7rfxDvbb09I
- Trojan.Generic.babkt
- Trojan.Ransom.HiddenTears.1
- W32/S-9f9d40c6!Eldorado
- Win32/Trojan.Ransom.786
- a variant of MSIL/Filecoder.Y
