Ransomware NeZha

Par Mezo en Ransomware

Se traduisent par :

Les rançongiciels demeurent l'une des menaces les plus perturbatrices pour les particuliers et les entreprises. Une seule intrusion réussie peut interrompre les opérations, corrompre ou exfiltrer des données sensibles et déclencher des opérations de récupération coûteuses. Mettre en place des défenses robustes et multicouches avant un incident est le seul moyen fiable de minimiser l'impact lorsque, et non si, les attaquants tentent leur chance.

Table des matières

Aperçu des menaces

Des chercheurs ont identifié une souche sophistiquée appelée rançongiciel NeZha. Comme d'autres familles de ce type, l'objectif principal de NeZha est simple : chiffrer un maximum de fichiers, puis exiger le paiement d'une clé de déchiffrement. Ses opérateurs se positionnent comme la seule voie de restauration et accentuent la pression en imposant des délais et en menaçant de fuiter des données.

Comportement sur le système et modifications des fichiers

Une fois NeZha installé, il commence à chiffrer les données des utilisateurs et des entreprises sur des emplacements communs. Lors du chiffrement, il renomme également les éléments en ajoutant un identifiant spécifique à la victime et l'extension « .NeZha ». Dans certains cas observés, les noms de fichiers obtiennent un identifiant de type GUID ; par exemple, un fichier inoffensif tel que « 1.png » a été transformé en un nom similaire à « 1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha ». Une fois son attaque terminée, NeZha dépose une demande de rançon intitulée « README.TXT » dans les répertoires concernés.

Demande de rançon et moyens de pression

La note affirme que les bases de données, documents, photos et autres fichiers sont chiffrés et que l'achat d'une clé de déchiffrement auprès des attaquants est la seule solution. Pour asseoir leur crédibilité, les criminels proposent souvent de déchiffrer gratuitement un fichier non critique. Ils mettent en garde contre la modification de fichiers verrouillés, l'utilisation de déchiffreurs tiers ou le recours à une aide extérieure, arguant que cela augmenterait les pertes. Un délai de 24 heures est fixé pour le premier contact ; en cas de non-respect de ce délai, les opérateurs menacent de divulguer ou de vendre les données sensibles de l'entreprise qu'ils prétendent avoir exfiltrées, ce qui constitue un exemple de « double extorsion ».

La réalité de la reprise et le dilemme du paiement

Techniquement, la plupart des rançongiciels modernes ne peuvent être déchiffrés sans les clés privées des attaquants, sauf si le logiciel malveillant présente une faille majeure, ce qui est rare. Payer, cependant, est risqué et déconseillé : de nombreuses victimes ne reçoivent jamais de déchiffreurs fonctionnels, même après avoir transféré des fonds, et le paiement entretient les activités criminelles. La solution la plus sûre consiste à s'appuyer sur des sauvegardes hors ligne propres et sur une réponse formelle aux incidents.

Confinement et élimination

La suppression de NeZha interrompt le chiffrement, mais ne déverrouille pas les fichiers déjà affectés. Les priorités doivent être d'isoler les systèmes infectés du réseau, de préserver les preuves pour l'analyse forensique, d'éradiquer le malware à l'aide d'outils fiables ou d'une reconstruction propre, puis de restaurer à partir de sauvegardes fiables. Si vous suspectez une exfiltration de données, activez votre plan de réponse aux violations et tenez compte des obligations légales, réglementaires et de notification client.

Comment NeZha se propage généralement

NeZha suit le modèle de nombreuses campagnes de rançongiciels, s'appuyant sur des méthodes de diffusion pilotées par l'utilisateur et par l'attaquant. Les attaquants peuvent déguiser des charges utiles en contenu légitime ou les introduire clandestinement dans des logiciels, puis déclencher leur exécution à l'ouverture d'un fichier ou à l'exécution d'un script. Certaines variantes peuvent également se propager latéralement sur les réseaux locaux ou se copier sur des supports amovibles.

Vecteurs de livraison courants

Hameçonnage et ingénierie sociale conduisant à l'ouverture de pièces jointes piégées (Office/OneNote/PDF), de scripts (JavaScript), d'archives (ZIP/RAR) ou d'exécutables (.exe/.run).
Installateurs, chargeurs et portes dérobées trojanisés qui introduisent des ransomwares dans une deuxième étape.
Téléchargements furtifs et trompeurs provenant de sites compromis ou malveillants.
Sources de téléchargement non fiables (portails de logiciels gratuits, miroirs tiers, réseaux P2P).
Campagnes de spam, escroqueries en ligne et publicités malveillantes qui redirigent vers des charges utiles.
Outils d'activation illégaux (« cracks »), logiciels/supports piratés et fausses invites de mise à jour.
Auto-propagation via les réseaux locaux et les stockages amovibles (clés USB, disques durs externes).

Réflexions finales

NeZha s'inscrit parfaitement dans le modèle des ransomwares modernes : chiffrement rapide, coercition forte et menaces crédibles d'exposition des données. Votre meilleur atout s'obtient avant l'incident, grâce à une hygiène rigoureuse, des contrôles multicouches, des sauvegardes testées et une réponse éprouvée. Combinez les mesures de protection techniques à la formation des utilisateurs et à une gestion rigoureuse des opérations pour réduire la probabilité et la portée d'une attaque NeZha.

messages

Les messages suivants associés à Ransomware NeZha ont été trouvés:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Ransomware NeZha

Aperçu des menaces

Comportement sur le système et modifications des fichiers

Demande de rançon et moyens de pression

La réalité de la reprise et le dilemme du paiement

Confinement et élimination

Comment NeZha se propage généralement

Vecteurs de livraison courants

Réflexions finales

messages

Soumettre un Commentaire

Tendance

Hexa Desk Ads

NIX Player

Fruitfly

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Discord est bloqué sur un écran gris