Mockba Ransomware

Les créateurs de rançongiciels ne semblent pas prendre un jour de congé - un tout nouveau cheval de Troie de chiffrement de fichiers a été repéré récemment. Son nom est Mockba Ransomware. Cela semble être une nouvelle famille de ransomware. Les menaces liées aux ransomwares semblent être perçues comme un type d’activité à faible risque et très rentable, alors que de plus en plus d’individus suspects développent et propagent divers chevaux de Troie bloquant les données.

Propagation et Chiffrement

La plupart des auteurs de logiciels de type ransomware ont tendance à utiliser des campagnes de spam pour diffuser leurs créations. Les e-mails en question contiennent souvent une pièce jointe macro-chargée qui porte la charge utile menaçante. Une autre astuce utilisée par les créateurs de ransomwares consiste à utiliser de fausses copies d’applications populaires piratées pour inciter les utilisateurs à exécuter leur menace. C'est pourquoi les experts en logiciels malveillants déconseillent de télécharger tout logiciel multimédia piraté, cela ne vaut tout simplement pas le risque. Une fois infiltré dans le système, Mockba Ransomware recherche certains types de fichiers. Comme la plupart des menaces de type ransomware, Mockba Ransomware possède une très longue liste de types de fichiers qu’il cible. Cela inclut les fichiers .mp3, .jpeg, .mov, .docx, .pptx, .rar, .png (parmi de nombreux autres), qui sont très susceptibles d'être présents sur le système de tout utilisateur ordinaire. Ensuite, les fichiers sélectionnés seront soumis au processus de cryptage du logiciel Mockba Ransomware. Cette menace utilise un algorithme de cryptage pour verrouiller toutes les données ciblées. Une fois que Mockba Ransomware a verrouillé un fichier, il modifie également son extension en ajoutant « .mockba » à la fin du nom du fichier. Cela signifie qu'un fichier image nommé « old-and-gold.jpeg » sera renommé en « old-and-gold.jpeg.mockba » à la fin du processus de cryptage.

La Note de Rançon

La menace affiche une note de rançon sur le bureau de la victime intitulée « # HOW TO RECOVER YOUR DATA #.txt ». L'utilisation de majuscules et de symboles spéciaux est une technique couramment utilisée par les auteurs de ransomwares. De cette façon, ils ont beaucoup moins de chances que l’utilisateur finisse par oublier leur message de rançon à mesure que le fichier se détache davantage. Dans la note, les créateurs de Mockba Ransomware demandent une somme importante en échange de la clé de déchiffrement, dont l'utilisateur a besoin pour récupérer ses fichiers. La note fournit également à la victime une adresse électronique lui permettant de recevoir des informations complémentaires - « petersburgrecover@protonmail.com ».

Il est probable que cette menace provienne de Russie non seulement parce que son adresse e-mail donnait des références à la ville russe de Saint-Pétersbourg, mais aussi parce que le nom de la menace est écrit en majuscules (alias MOCKBA), il est remplacé par « MOSCOU » en russe. Cependant, il s’agit là de spéculations et il n’y a aucune preuve définitive que Mockba Ransomware est un produit de pirates informatiques russes.

Il est déconseillé de coopérer avec les auteurs du logiciel Mockba Ransomware, car rien ne garantit que vous recevrez la clé de déchiffrement, ce que les attaquants promettent. Il est plus sûr de supprimer Mockba Ransomware de votre système à l'aide d'une application antivirus légitime.