Po Ransomware

Le Po Ransomware est une variante de la tristement célèbre famille de malwares Dharma. Les cybercriminels peuvent utiliser la menace pour verrouiller les données de leurs victimes. Les menaces de ransomware sont conçues spécifiquement pour crypter des fichiers importants, tels que des documents, des fichiers PDF, des archives, des bases de données, des photos, etc. Les données affectées sont ensuite exploitées par les attaquants comme un moyen d'extorquer de l'argent à leurs victimes.

Le Po Ransomware suit le comportement typique associé aux variantes du Dharma . Il modifie les noms des fichiers verrouillés en leur joignant une chaîne d'identification, un e-mail et une nouvelle extension de fichier. L'adresse e-mail ajoutée aux noms de fichiers est "recovery2022@tutanota.com", tandis que l'extension de fichier est ".Po." La menace déposera également deux notes de rançon sur les systèmes infectés.

L'un des messages demandant une rançon sera envoyé sous la forme d'un fichier texte nommé "info.txt". Les instructions à l'intérieur du fichier sont extrêmement brèves et consistent principalement à dire aux utilisateurs de contacter les attaquants en envoyant un message à leurs deux adresses e-mail - "recovery2022@tutanota.com" ou "mr.helper@gmx.com". Une note de rançon plus longue sera affichée dans une fenêtre pop-up nouvellement créée. Ici, la menace répétera que les victimes doivent établir un contact avec les cybercriminels. Cependant, la note contient également de nombreux avertissements, indiquant aux utilisateurs de ne pas renommer les fichiers cryptés ou d'essayer de les restaurer avec des outils tiers, car cela pourrait causer des dommages permanents.

Le message trouvé dans le fichier texte est :

'toutes vos données nous ont été verrouillées
Vous voulez revenir ?
écrivez un e-mail recovery2022@tutanota.com ou mr.helper@gmx.com'

La fenêtre contextuelle affiche la note suivante :

' VOS FICHIERS SONT CRYPTÉS
1024
Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers !
Si vous souhaitez les restaurer, écrivez au courrier: recovery2022@tutanota.com VOTRE ID -
Si vous n'avez pas répondu par mail dans les 12 heures, écrivez-nous par un autre mail : mr.helper@gmx.com
ATTENTION!
Nous vous recommandons de nous contacter directement pour éviter de surpayer les agents
Ne renommez pas les fichiers cryptés.
N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix (ils ajoutent leurs frais à nos) ou vous pouvez devenir victime d'une arnaque. '