NEFILIM Ransomware
Le NEFILIM Ransomware est une menace détectée à l'état sauvage par des experts en cybersécurité. Les menaces de ransomware sont l'une des menaces les plus désagréables à gérer en tant qu'utilisateur régulier, car ces chevaux de Troie se faufileraient dans votre système, verrouilleraient toutes vos données et exigeraient un paiement en échange d'un logiciel qui vous aidera à récupérer vos fichiers. Pour aggraver les choses, la plupart des utilisateurs qui paient les créateurs de menaces de ransomware ne reçoivent jamais la clé de déchiffrement qui leur a été promise.
Nefilim est apparu pour la première fois vers la fin février. Les experts ne savent toujours pas comment il est distribué, mais c'est très probablement via l'utilisation des services de bureau à distance. Les experts s'accordent également à dire que Nefilim semble partager une partie du même code que la menace Nemty 2.5.
La principale différence entre les deux virus est que Nefilim utilise les communications par courrier électronique au lieu d'exiger des paiements via Tor. Nefilim supprime également le modèle ransomware-as-a-service (RaaS) et semble être un virus propriétaire.
Table des matières
Propagation et cryptage
Les courriers indésirables sont l'un des vecteurs d'infection les plus couramment utilisés lorsqu'il s'agit de diffuser des menaces de ransomware. Ces campagnes impliquent généralement des e-mails contenant un faux message et une pièce jointe macro, qui infecterait l'ordinateur de la cible une fois celui-ci ouvert. Les cybercriminels qui propagent des menaces de ransomware ont également tendance à s'appuyer sur des publicités malveillantes, de faux téléchargements/mises à jour de logiciels, des trackers torrent, de fausses copies piratées de diverses applications, etc. Le ransomware NEFILIM fera des ravages une fois qu'il compromettra sûrement votre système. Cette menace de ransomware est probablement programmée pour appliquer son algorithme de cryptage à tous les fichiers présents sur votre ordinateur. Cela signifie que rien ne sera épargné - images, fichiers audio, documents, archives, feuilles de calcul, bases de données, présentations, vidéos, etc. Lorsque NEFILIM Ransomware a fini de verrouiller vos fichiers, vous remarquerez peut-être que cette menace a changé de nom en ajoutant un rallonge supplémentaire. Le NEFILIM Ransomware ajoute un '. NEFILIM' aux noms de tous les fichiers nouvellement verrouillés. Par exemple, un fichier nommé 'blue-blood.mp3' sera à l'origine renommé en 'blue-blood.mp3. NEFILIM.'
La note de rançon
Le message de rançon de NEFILIM Ransomware est contenu dans un fichier appelé "NEFILIM-DECRYPT.txt". Dans la demande de rançon, les attaquants prétendent avoir crypté les données de l'utilisateur avec un algorithme de cryptage de niveau militaire. Les créateurs du NEFILIM Ransomware offrent aux utilisateurs un délai de sept jours pour les contacter. Si la victime ne respecte pas le délai fixé, les attaquants déclarent qu'ils commenceront à divulguer les données de l'utilisateur en ligne. Les auteurs du NEFILIM Ransomware demandent à l'utilisateur de leur envoyer deux fichiers, qu'ils décrypteront pour prouver qu'ils disposent d'une clé de décryptage fonctionnelle. Les attaquants proposent trois adresses e-mail comme moyen de communication : « jamesgonzaleswork1972@protonmail.com », pretty_hardjob2881@mail.com et dprworkjessiaeye1955@tutanota.com. »
La demande de rançon se lit comme suit :
Tous vos fichiers ont été cryptés avec des algorithmes de qualité militaire.
Nous veillons à ce que le seul moyen de récupérer vos données soit avec notre logiciel.
Nous veillerons à ce que vous récupériez vos données rapidement et en toute sécurité lorsque nos demandes seront satisfaites.
La restauration de vos données nécessite une clé privée que nous seuls possédons.
Une grande partie de vos fichiers privés a été extraite et est conservée dans un emplacement sécurisé.
Si vous ne nous contactez pas dans les sept jours ouvrables suivant la violation, nous commencerons à divulguer les données.
Après nous avoir contacté, nous vous fournirons la preuve que vos fichiers ont été extraits.
Pour confirmer que notre logiciel de décryptage fonctionne, envoyez-nous 2 fichiers provenant d'ordinateurs aléatoires.
Vous recevrez d'autres instructions après nous avoir envoyé les fichiers de test.
jamesgonzaleswork1972@protonmail.com
jolie_hardjob2881@mail.com
dprworkjessiaeye1955@tutanota.com
Cette menace ne valait pas la peine d'y prêter beaucoup d'attention dans le passé, mais les temps ont changé. Avec toutes les menaces virales qui existent ces jours-ci, il existe de nombreuses preuves que les pirates informatiques sont plus que disposés à accepter leurs friandises.
Nous vous recommandons de conserver toutes les informations essentielles sur votre ordinateur cryptées et de ne les transférer qu'en utilisant des canaux cryptés. Cela permet d'éviter que les données ne soient volées ou interceptées. Vous devez conserver et maintenir des sauvegardes régulières des données afin de pouvoir restaurer les fichiers en toute sécurité en cas de perte de données ou d'attaque par ransomware. Plus vous avez de sauvegardes, mieux c'est.
Cryptage Nefilim
Nefilim crypte les fichiers à l'aide de l'algorithme de cryptage AES-128. La clé de cryptage des fichiers est ensuite à nouveau cryptée à l'aide d'une clé publique RSA-2048 intégrée au fichier exécutable du ransomware.
La clé chiffrée est ajoutée aux fichiers et ne peut être déchiffrée qu'avec une clé privée RSA. Les acteurs de la menace derrière l'attaque conservent la seule copie de la clé. Nefilim modifie également l'extension de fichier de chaque fichier en .NEFILIM. Un fichier appelé ABC.doc, par exemple, deviendrait ABC.doc.NEFILIM.
Il est conseillé d'éviter tout contact avec des cybercriminels comme ceux responsables du NEFILIM Ransomware. Les cyber-escrocs tiennent rarement leurs promesses, et même si vous payez les frais de rançon exigés, vous n'obtiendrez peut-être jamais la clé de décryptage dont vous avez besoin pour récupérer vos fichiers. Envisagez de télécharger et d'installer une véritable application anti-spyware qui non seulement supprimera le ransomware NEFILIM de votre ordinateur en toute sécurité, mais protégera également votre système et vos fichiers à l'avenir.
