Ransomweb Ransomware

Par GoldSparrow en Ransomware

Se traduisent par :

Malgré son nom, le Ransomweb Ransomware ne prétend être qu'un ransomware. Initialement, il semble suivre le comportement typique de ce type de menace de logiciel malveillant - il a été observé infectant le site Web d'une victime, chiffrant les fichiers là-bas, ajoutant les noms de fichiers originaux avec sa propre extension de fichier - ".xploiter'', et a généré une note de rançon . Regarder le texte laissé par les cybercriminels montre que quelque chose ne va pas. Il n'y a pas de canaux de communication, tels que les e-mails, permettant aux utilisateurs concernés de contacter les criminels pour plus de détails. La note ne mentionne même aucun paiement de rançon - l'objectif principal de toute opération de ransomware. Au lieu de cela, les pirates informatiques responsables du Ransomweb Ransomware semblent être juste après avoir provoqué le chaos en déclarant que tous les fichiers affectés ne peuvent pas être récupérés à moins que la victime ne dispose d'une sauvegarde appropriée.

Le message atypique a poussé les chercheurs infosec de Sucuri Labs à approfondir un peu plus le code et les fonctionnalités de la menace. Ils ont trouvé un fichier PHP nommé 'opens.php' qui était obscurci et donc illisible dans son état actuel. Après avoir réussi à désobfusquer le fichier et à le traduire en anglais à partir du texte indonésien initial, les chercheurs ont découvert un fichier de déverrouillage. À l'intérieur de son code, il contenait la méthode pour récupérer tous les fichiers verrouillés par le Ransomweb Ransomware car, en fin de compte, ils ne semblaient être cryptés alors que la vérité était que les fichiers avaient été masqués. En fin de compte, les deux processus fournissent le résultat que les fichiers affectés sont inaccessibles et inutilisables, mais travailler à travers l'obfuscation est tout à fait possible alors qu'il est presque impossible de craquer un éventuel cryptage avec les clés de décryptage requises. L'obscurcissement en question utilisé pour tous les fichiers .xploiter verrouillés est appelé gzdeflate, et pour l'inverser et restaurer les données ci-contre doit être utilisé - gzinflate.

Malgré son nom, le Ransomweb Ransomware ne prétend être qu'un ransomware. Initialement, il semble suivre le comportement typique de ce type de menace de logiciel malveillant - il a été observé infectant le site Web d'une victime, chiffrant les fichiers là-bas, ajoutant les noms de fichiers originaux avec sa propre extension de fichier - ".xploiter'', et a généré une note de rançon. Regarder le texte laissé par les cybercriminels montre que quelque chose ne va pas. Il n'y a pas de canaux de communication, tels que les e-mails, permettant aux utilisateurs concernés de contacter les criminels pour plus de détails. La note ne mentionne même aucun paiement de rançon - l'objectif principal de toute opération de ransomware. Au lieu de cela, les pirates informatiques responsables du Ransomweb Ransomware semblent être juste après avoir provoqué le chaos en déclarant que tous les fichiers affectés ne peuvent pas être récupérés à moins que la victime ne dispose d'une sauvegarde appropriée.

Il y a cependant un dernier obstacle, car avant que le processus de désobfuscation puisse être lancé, un mot de passe doit être fourni. Cependant, avoir accès au fichier de déverrouillage lui-même permet de le modifier de manière à ce que la vérification du mot de passe soit entièrement supprimée ou que le mot de passe lui-même soit changé en quelque chose que l'utilisateur connaît déjà.

Rechercher

Changer de région

Ransomweb Ransomware

Soumettre un Commentaire

Tendance

Safe Search Eng

MarioLocker Ransomware

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran