OoPS Ransomware
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Popularity Rank: | 3,620 |
| Niveau de menace: | 80 % (Haute) |
| Ordinateurs infectés : | 15,146 |
| Vu la première fois: | June 5, 2017 |
| Vu pour la dernière fois : | October 14, 2025 |
| Systèmes d'exploitation concernés: | Windows |
OoPS Ransomware est un cheval de Troie de cryptage qui peut être installé sur les ordinateurs via documents corrompus attachés aux courriers indésirables. OoPS Ransomware Trojan est connu pour s'exécuter comme « OoPS Ramenware.exe » sur les machines infectées, d'où son appaellation. L'analyse initiale de la menace amène les chercheurs en logiciels malveillants à croire que OoPS Ransomware est basé sur Marlboro Ransomware, mais les deux menaces ont utilisé différentes tactiques de cryptage. OoPS Ransomware ne crypte pas les fichiers individuels. L'infection informatique à déplace les éléments vers un fichier protégé par mot de passe et ajoute l'extension '.ramen'. Par exemple, « CygnosiC - Mad Desire.mp3 » est déplacé vers un conteneur nommé « CygnosiC - Mad Desire.ramen » et l'Explorateur Windows utilise une icône vierge pour signaler la présence du fichier sur le stockage local. La menace est connue pour cibler les formats de fichier suivants:
.7z, .ai, .apk, .asp, .avi, .css, .csv, .dat, .db, .doc, .docx, .es, .gif, .html, .jpg, .js, .mkv, .mp3, .mp4, .mp4, .parti, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .rb, .rm, .rmvb, .sav, .sav, .save, .tif, .torrent, .vb, .wav, .webm, .webp, .wmv, .xls, .xlsx, .zip.
OoPS Ransomware se comporte comme RarVault Ransomware et encapsule les données de l'utilisateur dans un shell protégé par mot de passe. Ensuite, le Trojan affiche une notification de rançon pour inviter l'utilisateur à acheter le code de déverrouillage afin de libérer ses données. Le message généré par OoPS Ransomware s'affiche sous forme d'une page Web hors ligne appelée '_HELP_Recover_Files_.html'. La page est chargée dans le navigateur Internet par défaut du système et lit:
'!!! INFORMATION IMPORTANTE !!!
Tous vos fichiers ont été chiffrés avec les algorithmes RSA-2048 et AES-128.
Plus d'informations sur RSA et AES peuvent être trouvées ici:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Déchiffrer vos fichiers est seulement possible en utilisant la clé privée et le programme de déchiffrement se trouvant sur notre serveur secret.
Pour recevoir votre clé privée, il faut payer la somme demandée.
Une fois que vous avez effectué le paiement, lancez le programme appelé 'DecryptFiles' situé sur votre bureau et vos documents.
Le programme déchiffrera automatiquement tous vos fichiers!
Si vous essayez de décrypter des fichiers avec un autre logiciel, vos fichiers peuvent être perdus à jamais.'
Les rapports des utilisateurs suggèrent que les auteurs d'OoPS Ransomware demandent le paiement de 0,2 Bitcoin (516 USD/458 EUR) à leur adresse de portefeuille en ligne. La même somme est demandée par des menaces comme Ranscam Ransomware et CryptoFinancial Ransomware, mais c'est probablement une coïncidence. Les opérateurs de ransomware ont tendance à demander de petites sommes comme moyen d'augmenter les chances de paiement des utilisateurs. Nous déconseillons la coopération avec les cybercriminels responsables des crypto-menaces comme OoPS Ransomware et bien d'autres. Il est préférable d'éliminer OoPS Ransomware à l'aide d'un instrument anti-malware fiable et de récupérer vos données en utilisant des copies de sauvegarde. Les scanners AV peuvent détecter des fichiers liés à OoPS Ransomware comme suit:
- a variant of MSIL/Filecoder.HB
- Gen:Variant.MSILPerseus.101375
- Ransom_ZIPRAMEN.A
- Trojan.Encoder.11908
- Trojan.MSILPerseus.D18BFF
- W32.Trojan.Gen
- malicious_confidence_100% (W)
Table des matières
Bulletin d'analyse
Informations générales
| Family Name: | Trojan.Kryptik.AF |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
8c538eed75265ad3de42f084dca09a32
SHA1:
08ffe113fea716b64ad94e82e06166a4c6244681
SHA256:
A034EC11AE678167C175ECE8A5AB546961C8C0D278DE3CFF3C2E3C6ABD464875
Taille du fichier:
7.14 MB, 7138304 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
Show More
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
File Traits
- HighEntropy
- No Version Info
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 4,329 |
|---|---|
| Potentially Malicious Blocks: | 322 |
| Whitelisted Blocks: | 1,536 |
| Unknown Blocks: | 2,471 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
