Pennywise Ransomware
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Classement : le classement d'une menace particulière dans la base de données des menaces d'EnigmaSoft.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Classement: | 14,674 |
| Niveau de menace: | 10 % (Normal) |
| Ordinateurs infectés : | 301 |
| Vu la première fois: | November 3, 2017 |
| Vu pour la dernière fois : | September 15, 2023 |
| Systèmes d'exploitation concernés: | Windows |
Pennywise Ransomware est un cheval de Troie qui va chiffrer vos données et qui a été signalé pour la première fois le 23 octobre 2017. Pennywise Ransomware semble être une variante d'une autre menace bien documentée doublée Jigsaw Ransomware qui a émergé en avril 2016. La famille des chevaux de Troie de Jigsaw a été élargie depuis la découverte de la menace originale et Pennywise Ransomware est l'une des dernières itérations parmi eux qui sont HACKED Ransomware et StrutterGear Ransomware. La nouvelle variante a été trouvée sur une plate-forme de sécurité en ligne que les chercheurs utilisent pour échanger des échantillons, des notes et garder un œil sur les dernières tendances en matière de développement de menaces. Les échantillons de Pennywise Ransomware disponibles pour les chercheurs suggèrent que le cheval de Troie est encore en cours de développement. Les faits montrent que Pennywise Ransomware est dans sa phase de test et de réorganisation. Les créateurs de Pennywise Ransomware continuent à utiliser l'image d'un clown effrayant pour marquer leurs produits. L'analyse de code a révélé que Pennywise Ransomware est conçu pour créer un dossier sur le disque système primaire — C:\FileSystemSimulation\ — et utiliser l'emplacement pour se charger sur le système. Les tests en laboratoire indiquent que la menace utilise les fichiers suivants pour faciliter ses opérations:
Setup.exe
EncryptedFileList.txt
NotTxtTest.nottxt
TxtTest.txt
TxtTest.txt.beep
Le cheval de Troie est connu pour générer une fenêtre programme qui offre les informations suivantes à l'utilisateur compromis:
'Vos fichiers personnels sont en cours de suppression. Vos photos, vidéos, documents, etc...
Mais, ne t'inquiète pas! Cela n'arrivera que si vous ne vous conformez pas.
Cependant, j'ai déjà chiffré vos fichiers personnels, donc vous ne pouvez pas y accéder.
Chaque heure je sélectionne certains d'entre eux à supprimer définitivement, moi non plus, je ne serai pas en mesure d'y accéder.
Si vous éteignez votre ordinateur ou essayez de me fermer, à la rencontre prochaine vous aurez 1000 fichiers supprimés en guise de punition.
Oui, vous voudrez que je commence la prochaine fois, puisque je suis le seul qui est capable de déchiffrer vos données personnelles.
Pendant ce temps..... Vous voulez un ballon? Hahahahaha_ '
Au moment de la recherche, Pennywise Ransomware est connu pour cibler cent vingt-sept types de fichiers pour le chiffrement. Les chercheurs ont fourni les listes suivantes de formats de données ciblés:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.
Comme vous pouvez le voir, Pennywise Ransomware est conçu pour crypter les formats de données standard que les utilisateurs habituels sont susceptibles de connaître. Les données chiffrées sont marquées avec le marqueur de fichier '.beep'. Par exemple, 'Hawa Mahal - Palace of the Winds.jpeg' est renommé 'Hawa Mahal - Palace of the Winds.jpeg.beep' et il n'y a aucun moyen pour l'utilisateur de déchiffrer le fichier, sauf pour payer les escroques en ligne. Au moins, c'est ce que la menace essaie de convaincre les utilisateurs compromis. Il est vrai que Pennywise Ransomware utilise des mécanismes de chiffrement sécurisés, mais vous pouvez démarrer un disque de récupération système et tout type de sauvegarde pour reconstruire la structure de vos fichiers. C'est nécessaire pour utiliser un scanner anti-malware fiable qui peut supprimer Pennywise Ransomware de votre PC en toute sécurité. Les entreprisesantivirus identifient la menace comme:
- Generic.MSIL.Ransomware.Jigsaw.5123367C
- MSIL/Filecoder.JIGSAW!tr
- Ransom/W32.Jigsaw.672256
- Ransom_JIGSAW.WD
- TR/AD.JigsawLocker.adzox
- Trojan ( 004f21821 )
- Trojan.Win32.Ransom.672256
- Trojan/Win32.Ransom.C2210683
- malicious (moderate confidence)
