Ransomware Khonsari

Le Khonsari Ransomware est un tout nouveau logiciel de rançon, conçu pour attaquer les PC Windows. Pour ce faire, les escrocs derrière le ransomware exploitent la vulnérabilité CVE-2021-44228 récemment découverte, également connue sous le nom de Log4Shell , Logjam et Log4j. Ce dernier est une faille critique qui permet aux pirates d'appliquer l'exécution de code à distance pour détourner des serveurs non corrigés et les mettre dans un botnet.

Contrairement à d'autres logiciels de rançon populaires actuellement en circulation, Khonsari ne se propage pas via le courrier indésirable ou la publicité malveillante. Pour infecter un PC avec Khonsari, les escrocs en charge doivent d'abord utiliser la vulnérabilité mentionnée ci-dessus pour forcer le système ciblé à télécharger un code arbitraire. Une fois exécuté, ce code donne aux cybercriminels un contrôle total sur le système ciblé et des possibilités infinies de planter toutes sortes de logiciels malveillants, y compris Khonsari.

Si l'adversaire décide de lancer une infection Khonsari à ce stade, le ransomware chiffrera de nombreux types de fichiers et générera la note de rançon suivante :

' Vos fichiers ont été cryptés et volés par la famille Khonsari. Si vous souhaitez décrypter, appelez le (225) 287-1309 ou envoyez un courriel à karenkhonsari@gmail.com . Si vous ne savez pas comment acheter du btc, utilisez un moteur de recherche pour trouver des échanges. NE PAS MODIFIER OU SUPPRIMER CE FICHIER OU AUCUN FICHIER CHIFFRÉ. SI VOUS LE FAITES, VOS FICHIERS POURRAIENT ÊTRE IRRÉCUPÉRABLES.'

La note est assez basique en termes d'instructions, tout comme le Khonsari Ransomware lui-même. La charge utile de Khonsari ne fait que 12 Ko, ce qui explique pourquoi elle n'est de loin pas aussi sophistiquée que d'autres menaces notables. Les chercheurs pensent que le contact fourni dans la demande de rançon peut être un faux drapeau et que Karen Khonsari peut être une personne physique dans la vraie vie. Cependant, ils n'ont pas encore confirmé cette théorie, c'est pourquoi le Khonsari Ransomware présente de graves risques pour le moment.