Pay Ransomware
Les chercheurs en cybersécurité ont découvert une autre menace nuisible de ransomware. Nommée Pay Ransomware et appartenant à la famille Xorist Ransomware, la menace conserve les puissantes capacités de cette famille de ransomwares et peut causer des dommages importants aux systèmes qu'elle infecte. En exécutant une routine de chiffrement avec un algorithme cryptographique de qualité militaire, Pay Ransomware peut effectivement rendre un large éventail de types de fichiers complètement inutilisables. Les attaquants vont alors extorquer la victime en prenant les données cryptées en otage.
Chaque fois que Pay Ransomware traite un fichier, il modifie également le nom d'origine de ce fichier en ajoutant '.Pay' comme nouvelle extension. Par la suite, le logiciel malveillant procédera à la livraison de son message exigeant une rançon. Pour s'assurer que les utilisateurs concernés verront les instructions du pirate, la menace générera un fichier texte nommé "HOW TO DECRYPT FILES.txt", et les affichera dans une fenêtre contextuelle.
Aperçu des demandes
La note de rançon affichée dans la fenêtre contextuelle et celle contenue dans le fichier texte sont identiques. Selon le message, les acteurs de la menace derrière Pay Ransomware veulent recevoir une rançon d'exactement 50 $. Cependant, ils n'accepteront que les paiements en Bitcoin, les fonds devant être transférés à l'adresse de crypto-portefeuille fournie dans la note. Après avoir effectué le paiement, les victimes doivent télécharger le client de chat qTox, censé recevoir la clé de déchiffrement nécessaire à la restauration de leurs données auprès des attaquants. La note avertit que les victimes n'ont que 5 tentatives pour entrer le bon code, et le dépassement de la limite de tentatives détruira apparemment toutes les données verrouillées.
Le texte intégral de la note exigeant une rançon est :
' Attention ! Tous vos fichiers sont cryptés !
Pour restaurer vos fichiers et y accéder,
Envoyez-nous 50 USD en Bitcoin à cette adressebc1qmsfh4lz8nar89zvxkverwurkjrmg4d9vqjgj7g
(?? Adresse Bitcoin ??)Vous avez 5 tentatives pour entrer le code.
Lorsque ce nombre est dépassé,
toutes les données sont irréversiblement détruites.
Soyez prudent lorsque vous entrez le code.Dès que vous nous envoyez le paiement, vous passerez en revue le code du client qTox que vous devez télécharger afin que nous puissions vous envoyer le code de décryptage (En savoir plus sur le client qTox ci-dessous)
Si vous voulez nous contacter, vous pouvez télécharger le projet de source ouverte qTox et m'ajouter sur cet identifiant (vous devez nous contacter pour obtenir votre code après le paiement)
IDENTIFIANT:
9F15A8EE857F37F03C77A7723D50C47BBCA37 60997A993AB20D7D2A68C59F43D5EFD8AAD77B7Obs : Aucun antivirus ne peut vous aider ici, ils ne supprimeront que le client qui démarre et supprimeront toutes les chances de décrypter vos fichiers, bonne chance ! '
