Ransomweb Ransomware

Description de Ransomweb Ransomware

Malgré son nom, le Ransomweb Ransomware ne prétend être qu'un ransomware. Initialement, il semble suivre le comportement typique de ce type de menace de logiciel malveillant - il a été observé infectant le site Web d'une victime, chiffrant les fichiers là-bas, ajoutant les noms de fichiers originaux avec sa propre extension de fichier - ".xploiter'', et a généré une note de rançon . Regarder le texte laissé par les cybercriminels montre que quelque chose ne va pas. Il n'y a pas de canaux de communication, tels que les e-mails, permettant aux utilisateurs concernés de contacter les criminels pour plus de détails. La note ne mentionne même aucun paiement de rançon - l'objectif principal de toute opération de ransomware. Au lieu de cela, les pirates informatiques responsables du Ransomweb Ransomware semblent être juste après avoir provoqué le chaos en déclarant que tous les fichiers affectés ne peuvent pas être récupérés à moins que la victime ne dispose d'une sauvegarde appropriée.

Le message atypique a poussé les chercheurs infosec de Sucuri Labs à approfondir un peu plus le code et les fonctionnalités de la menace. Ils ont trouvé un fichier PHP nommé 'opens.php' qui était obscurci et donc illisible dans son état actuel. Après avoir réussi à désobfusquer le fichier et à le traduire en anglais à partir du texte indonésien initial, les chercheurs ont découvert un fichier de déverrouillage. À l'intérieur de son code, il contenait la méthode pour récupérer tous les fichiers verrouillés par le Ransomweb Ransomware car, en fin de compte, ils ne semblaient être cryptés alors que la vérité était que les fichiers avaient été masqués. En fin de compte, les deux processus fournissent le résultat que les fichiers affectés sont inaccessibles et inutilisables, mais travailler à travers l'obfuscation est tout à fait possible alors qu'il est presque impossible de craquer un éventuel cryptage avec les clés de décryptage requises. L'obscurcissement en question utilisé pour tous les fichiers .xploiter verrouillés est appelé gzdeflate, et pour l'inverser et restaurer les données ci-contre doit être utilisé - gzinflate.

Malgré son nom, le Ransomweb Ransomware ne prétend être qu'un ransomware. Initialement, il semble suivre le comportement typique de ce type de menace de logiciel malveillant - il a été observé infectant le site Web d'une victime, chiffrant les fichiers là-bas, ajoutant les noms de fichiers originaux avec sa propre extension de fichier - ".xploiter'', et a généré une note de rançon. Regarder le texte laissé par les cybercriminels montre que quelque chose ne va pas. Il n'y a pas de canaux de communication, tels que les e-mails, permettant aux utilisateurs concernés de contacter les criminels pour plus de détails. La note ne mentionne même aucun paiement de rançon - l'objectif principal de toute opération de ransomware. Au lieu de cela, les pirates informatiques responsables du Ransomweb Ransomware semblent être juste après avoir provoqué le chaos en déclarant que tous les fichiers affectés ne peuvent pas être récupérés à moins que la victime ne dispose d'une sauvegarde appropriée.

Il y a cependant un dernier obstacle, car avant que le processus de désobfuscation puisse être lancé, un mot de passe doit être fourni. Cependant, avoir accès au fichier de déverrouillage lui-même permet de le modifier de manière à ce que la vérification du mot de passe soit entièrement supprimée ou que le mot de passe lui-même soit changé en quelque chose que l'utilisateur connaît déjà.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».


Le HTML n'est pas autorisé.