Prestige Ransomware
Le Prestige Ransomware est un outil menaçant utilisé par les cybercriminels pour verrouiller les données de leurs victimes. Cette campagne d'attaque particulière s'est principalement concentrée sur des cibles en Ukraine et en Pologne. De plus, les acteurs de la menace livrent des logiciels malveillants voleurs d'informations avant de déposer le Prestige Ransomware via PowerShell, l'utilitaire de tâche planifiée de Windows ou l'objet de stratégie de groupe de domaine par défaut. Pour exécuter sa routine de chiffrement, la menace doit disposer de privilèges administratifs. Il tente également d'arrêter le service MSSQL Windows, afin d'assurer un chiffrement réussi.
Une fois activé, Prestige analysera le système infecté et verrouillera les documents, PDF, images, photos, archives, bases de données et plus encore. Chaque fichier crypté aura '.enc' attaché à son nom en tant que nouvelle extension. Les victimes se retrouveront avec une note de rançon contenue dans un fichier nommé "README".
Les instructions fournissent très peu d'informations utiles. Les attaquants indiquent simplement que les victimes doivent les contacter en envoyant un message à l'adresse e-mail "Prestige.ranusomeware@Proton.me" pour obtenir des détails supplémentaires sur la façon d'obtenir un outil de décryptage de leur part. La note de rançon se termine par deux avertissements sur le fait de ne pas essayer de déchiffrer les données avec un logiciel tiers ou de les renommer car cela pourrait causer des dommages permanents aux fichiers.
Le texte complet de la note de Prestige Ransomware est :
« VOS DOSSIERS PERSONNELS ONT ÉTÉ CRYPTÉS.
Pour décrypter toutes les données, vous devrez acheter notre logiciel de décryptage.
Contactez-nous Prestige.ranusomeware@Proton.me. Dans la lettre, tapez votre ID = .ATTENTION *
N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Ne modifiez pas ou ne renommez pas les fichiers cryptés. Vous les perdrez.
