Ransomware ressuscité

À l’ère numérique d’aujourd’hui, il est crucial de protéger les appareils contre les menaces de logiciels malveillants. Les logiciels malveillants, tels que les ransomwares, peuvent avoir des effets dévastateurs sur les individus et les organisations, entraînant d'importantes pertes de données, des dommages financiers et des perturbations opérationnelles. L'une des menaces les plus récentes dans ce domaine est Risen Ransomware, un logiciel menaçant qui crypte les fichiers des utilisateurs et exige le paiement d'une rançon pour leur récupération. Comprendre comment fonctionne Risen Ransomware et comment se protéger contre de telles menaces est essentiel pour maintenir la cybersécurité.

Un aperçu du Ransomware Risen

Le Risen Ransomware a été découvert par des chercheurs en cybersécurité qui ont identifié ses caractéristiques et méthodes de fonctionnement uniques. Lors de l'infection d'un système, Risen crypte les fichiers et les renomme en ajoutant une adresse e-mail et un identifiant utilisateur à leurs extensions. Par exemple, « 1.png » est renommé « 1.png.Default@firemail.de].E86EQNTPTT », et « 2.pdf » devient « 2.pdf.Default@firemail.de].E86EQNTPTT ».

Notes de rançon et menaces

Risen Ransomware crée deux notes de rançon : « $ Risen_Note.txt » et « $ Risen_Guide.hta ». De plus, il modifie le fond d'écran du bureau et affiche un message sur l'écran de pré-connexion, garantissant que la victime est au courant de la violation. Les notes de rançon affirment que les attaquants ont infiltré l'ensemble du réseau de la victime en raison de failles de sécurité et ont chiffré tous les fichiers à l'aide d'un algorithme puissant. Ils affirment également que des données critiques, telles que des documents, des images, des données techniques, des informations comptables et des informations sur les clients, ont été volées.

Tactiques d'extorsion

Les notes de rançon menacent que si les victimes ne coopèrent pas dans un délai non précisé, les attaquants divulgueront ou vendront les données collectées. Les notes indiquent que les sauvegardes ont également été cryptées et sont inaccessibles, ce qui implique que le seul moyen de récupérer les fichiers consiste à utiliser un outil de décryptage spécifique fourni par les attaquants. Les victimes sont autorisées à envoyer jusqu'à trois fichiers de test pour un décryptage gratuit et doivent utiliser les adresses e-mail fournies, default1@tutamail.com et default@firemail.de, pour contacter les attaquants, en incluant leur identifiant d'ordinateur dans la ligne d'objet. S'il n'y a pas de réponse dans les 72 heures, les victimes sont invitées à contacter les attaquants via un blog TOR fourni.

Les risques liés au paiement de la rançon

Malgré les promesses des attaquants, le paiement de la rançon est fortement déconseillé. Il existe un risque important d'être trompé, car les attaquants peuvent ne pas fournir l'outil de décryptage même après le paiement. De plus, les ransomwares peuvent continuer à chiffrer les fichiers et à se propager sur le réseau tant qu’ils restent actifs, causant ainsi des dégâts supplémentaires.

Mesures de sécurité pour prévenir les infections par ransomware

La protection contre les ransomwares comme Risen nécessite une approche à plusieurs facettes. Voici quelques mesures de sécurité critiques que les utilisateurs doivent mettre en œuvre :

• Sauvegardes régulières : configurez régulièrement une sauvegarde des données importantes et assurez-vous que les sauvegardes sont stockées hors ligne ou dans une solution sécurisée basée sur le cloud. Cela garantit la récupération des données en cas d’attaque.
• Logiciels mis à jour : conservez tous les logiciels, y compris les applications et les systèmes d'exploitation, mis à niveau avec les derniers correctifs de sécurité pour corriger les vulnérabilités que les ransomwares peuvent exploiter.
• Anti-malware puissant : utilisez des solutions anti-malware réputées pour exposer et bloquer les ransomwares avant qu'ils ne puissent causer des dommages. Assurez-vous que ces outils sont régulièrement mis à jour.
• Filtrage des e-mails et du Web : mettez en œuvre des solutions de filtrage des e-mails et du Web pour bloquer les e-mails et les sites Web frauduleux susceptibles de transmettre des charges utiles de ransomware.
• Formation des utilisateurs : éduquez les utilisateurs sur les dangers des ransomwares et les pratiques en ligne sûres. Insistez sur l’importance de ne pas ouvrir les pièces jointes suspectes ou de ne pas cliquer sur des liens inconnus.
• Segmentation du réseau : segmentez votre réseau pour réguler la propagation des ransomwares. Cela peut aider à contenir une infection et à l’empêcher d’affecter l’ensemble du réseau.
• Contrôles d'accès : mettez en œuvre des contrôles d'accès stricts pour restreindre les autorisations des utilisateurs et bloquer l'accès non autorisé aux données et systèmes sensibles.

Le Risen Ransomware représente une menace importante dans le paysage des cybermenaces. Comprendre son fonctionnement et l’importance d’une procédure de sécurité proactive peut aider à atténuer le risque d’infection. En mettant en œuvre de solides pratiques de cybersécurité, les utilisateurs peuvent protéger leurs données et leurs réseaux contre les impacts dévastateurs des ransomwares.

Le texte sur la demande de rançon laissée aux victimes du Risen Ransomware est le suivant :

'All Your Important Files Have Been Encrypted
NOTE
We have also taken your critical documents and files from different parts of your network, which we will leak or sell if there is no cooperation from your side.

Our operators have been monitoring your business for a while, when we say these documents are critical, we mean it.
We await for your response before the deadline ends, After that we will continue the process of leaking or selling your documents.
We assure you that this won't happen if you cooperate with us.
CONTACT US
For more instructions, to save your files and your business, contact us by :
Email address :Default@firemail.de
didn't get any response in 24 hours ? use : default1@tutamail.com

Leave subject as your machine id "-"
If you didn't get any respond within 72 hours use our Tor blog to contact us, therefore we can create another way for you to contact your cryptor as soon as possible.

ATTENTION
Do not rename or change info of any file, in case of any changes in files after encryption there is a huge risk for making it unusable
Do not pay any amount of money before receiving decrypted test files
there might be many middle man services out there whom will contact us for your case and they will make a profit adding a sort of money to the fixed price
any attempts for decrypting your files through third party softwares will cause permanent damage to following files and permanent data loss
there will be a deadline until your data get sold or leaked by our team,you better corporate with us before the following deadline otherwise we will proceed to sell or leak your data without any past warnings'

Le fichier texte généré par Risen Ransomware contient le message suivant des attaquants :

'RisenNote :

Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and …
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data, the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor, there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them, so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment, we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : Default@firemail.de

Or If you weren't able to contact us whitin 24 hours please Email : default1@tutamail.com

Leave subject as your machine id :

If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG :'