Ransomware NordCrypters

Le NordCrypters Ransomware est un type de logiciel menaçant créé pour crypter les fichiers sur l'ordinateur d'une victime, les rendant inaccessibles jusqu'à ce qu'une rançon soit payée. Ce ransomware se distingue par l'ajout de l'extension de fichier « .enc » aux fichiers cryptés. Il génère également une demande de rançon nommée КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ.txt, qui se traduit du russe par « COMMENT RÉCUPÉRER VOS FICHIERS.txt ». La note exige une rançon de 250 USD en Bitcoin et fournit une adresse de portefeuille de crypto-monnaie pour le paiement. Les victimes reçoivent également une adresse e-mail, « nordcrypters@proton.me », pour un contact ultérieur.

Comment fonctionne le ransomware NordCrypters

1. Infiltration : Le NordCrypters Ransomware infiltre souvent les systèmes via des e-mails de phishing, des pièces jointes frauduleuses, des sites Web compromis ou en exploitant les vulnérabilités de logiciels obsolètes.
2. Chiffrement : Une fois sur le système, le ransomware recherche différents types de fichiers et les crypte. Cela rend les fichiers inutilisables sans la clé de décryptage.
3. Extension de fichier : Le ransomware ajoute l'extension « .enc » à chaque fichier crypté. Par exemple, document.docx devient document.docx.enc.
4. Note de rançon : Le malware génère une demande de rançon nommée « КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ.txt » et la place dans plusieurs répertoires. Cette note contient des instructions destinées à la victime sur la marche à suivre.

Contenu de la note de rançon

La demande de rançon, « КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ.txt », comprend généralement les informations suivantes :

• Notification de cryptage : La note informe les victimes que leurs fichiers ont été cryptés.
• Demande de rançon : Les attaquants exigent 250 USD en Bitcoin pour la clé de déchiffrement.
• Instructions de paiement : La note fournit une adresse de portefeuille Bitcoin où la rançon doit être envoyée.
• Informations de contact : les victimes sont invitées à contacter les attaquants via l'adresse e-mail « nordcrypters@proton.me » pour obtenir des instructions supplémentaires et confirmer le paiement.

Étapes recommandées en cas d’infection par un ransomware

Faire face à une infection par un ransomware comme NordCrypters peut être intimidant. Voici les étapes à suivre :

1. Isoler le système infecté : détachez immédiatement la machine compromise du réseau pour empêcher le ransomware de se propager à d'autres systèmes.
2. Ne payez pas la rançon : les experts en cybersécurité déconseillent de payer la rançon car les attaquants pourraient ne pas fournir la clé de déchiffrement, ce qui pourrait encourager de nouvelles activités criminelles.
3. Identifiez le Ransomware : utilisez des outils tels que ID Ransomware pour identifier la souche spécifique du ransomware. Ces informations peuvent être cruciales pour trouver la bonne solution.
4. Signaler l'attaque : signalez l'incident aux autorités locales chargées de l'application de la loi et de la cybercriminalité. Aux États-Unis, vous pouvez vous adresser au Internet Crime Complaint Center (IC3) du FBI.
5. Demander l'aide d'un professionnel : consultez des professionnels de la cybersécurité qui peuvent vous aider à évaluer la situation et éventuellement à récupérer vos données. Ils pourront peut-être utiliser des outils ou des méthodes spécialisés pour décrypter vos fichiers.
6. Restaurer à partir d'une sauvegarde : si vous disposez d'une sauvegarde récente et propre de vos données, utilisez-la pour restaurer vos fichiers. Assurez-vous que la sauvegarde n'est pas infectée avant de la restaurer.
7. Utiliser les outils de décryptage : Parfois, des outils de décryptage sont disponibles pour des souches de ransomware spécifiques.
8. Nettoyez le système : utilisez un logiciel anti-malware réputé pour analyser et nettoyer votre système de tout composant de ransomware restant.
9. Mise à jour et correctif : assurez-vous que tous les logiciels installés et votre système d'exploitation sont à jour en appliquant les derniers correctifs de sécurité pour éviter de futures infections.
10. Mettre en œuvre de solides pratiques de sécurité :
    • Utilisez des mots de passe forts et uniques pour tous les comptes.
    • Activez l’authentification à deux facteurs lorsque cela est possible.
    • Sauvegardez régulièrement vos données sur un disque externe ou un stockage cloud sécurisé.
    • Soyez attentif aux pièces jointes des e-mails et aux liens provenant de sources inconnues.
    • Renseignez-vous, ainsi que vos employés, sur le phishing et autres attaques d'ingénierie sociale.

Le NordCrypters Ransomware est une menace sérieuse qui peut entraîner des perturbations et des pertes de données importantes. Comprendre son fonctionnement et connaître les mesures appropriées à prendre en cas d'infection peut atténuer les dégâts et améliorer les chances de récupérer vos données. Donnez toujours la priorité aux mesures préventives et effectuez des sauvegardes régulières pour vous protéger contre de telles attaques.

La demande de rançon présentée aux victimes du ransomware NordCrypters se lit comme suit :

'Все ваши данные зашифрованы.

Но вы можете расшифровать их оплатив декодер, который восстановит каждый файл в первозданном виде.

Инструкция:
- Не пытайтесь самостоятельно восстановить файлы, вы повредите алгоритмы.
- Заплатите эквивалент 250 USD в биткоинах на счет bc1q6yx2cte225vtv3uv96ru4s4etyvc2vle9s2d3c.
- Отправьте нам сообщение с идентификатором транзакции на адрес nordcrypters@proton.me
- Запустите програму, которую мы вам вышлем в ответном письме.

Нас интересуют только деньги! Не в наших интересах обманывать вас.'