RotorCrypt Ransomware
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Classement : le classement d'une menace particulière dans la base de données des menaces d'EnigmaSoft.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
Niveau de menace: | 100 % (Haute) |
Ordinateurs infectés : | 10 |
Vu la première fois: | November 3, 2016 |
Vu pour la dernière fois : | July 23, 2019 |
Systèmes d'exploitation concernés: | Windows |
RotorCrypt Ransomware, également connu sous le nom de RotoCrypt, est un cheval de Troie qui va chiffrer vos fichiers, il a été signalé pour la première fois le 17 octobre 2017. Les premiers jours de la campagne RotorCrypt Ransomware ont révélé que les auteurs de la menace utilisent de multiples versions du même cheval de Troie. Les rapports de diverses sociétés AV et consultant indépendant en cybersécurité suggèrent qu'il existe près d'une douzaine de variantes publiées au temps de la première vague d'attaques. Les chercheurs de Malware signalent que l'équipe de RotorCrypt Ransomware utilise des documents macro-attachés à des spams pour distribuer leur produit aux utilisateurs de Windows. La menace est exécutée sur les dernières versions de Windows et utilise les fichiers suivants: 'dead rdp.exe', 'ins.exe' et 'GWWABPFL.EXE'.
Les tests en laboratoire ont révélé que RotorCrypt Ransomware chiffre les formats de fichier standard
Comme mentionné ci-dessus, RotorCrypt Ransomware est enregistré pour utiliser plusieurs marqueurs de fichiers. Les marqueurs sont des chaînes personnalisées ajoutées aux noms des fichiers chiffrés. Le cheval de Troie RotorCrypt Ransomware est configuré pour crypter les conteneurs de données couramment utilisés associés à Windows Photo, VLC Media Player, Microsoft Office, Adobe Acrobat Reader et MySQL. Les données affectées peuvent comporter l'une des extensions suivantes:
- !-=solve a problem=-=grandums@gmail.com=-.PRIVAT66
- !___ELIZABETH7@PROTONMAIL.COM____.c400
- !_____DILIGATMAIL7@tutanota.com_____.OTR
- !_____FIDEL4000@TUTAMAIL.COM______.biz
- !_____GEKSOGEN911@GMAIL.COM____.c300
- !_____INKASATOR@TUTAMAIL.COM____.ANTIDOT
- !_____LIKBEZ77777@GMAIL.COM____.c400
- PATAGONIA5000@PROTONMAIL.COM
Comme vous pouvez le remarquer, les auteurs de menaces utilisent des services de messagerie cryptés pour cacher leurs opérations et contacter les victimes qui pourraient être intéressées à payer la rançon. L'argent de la rançon est demandé sous forme de Bitcoins, c'est une crypto-monnaie numérique qui peut être tracée à des adresses de porte-monnaie anonymes. Les créateurs de RotorCrypt Ransomware exécutent une opération similaire à 'mkgoro@india.com' Ransomware and the Dharma Ransomware. Les utilisateurs compromis sont supposés écrire au compte de courrier électronique fourni en tant que marqueur de fichier.
Ne vous laissez pas tomber au piège des publicités de "Décryptage gratuit"
Payer l'argent de la rançon ne garantit pas que vous receviez une clé de déchiffrement. Le but de toutes les campagnes de ransomware est de faire payer les gens quand il n'y a aucun moyen de s'assurer qu'ils recevront de l'aide pour récupérer leurs données. Certains opérateurs ransomware offrent le décryptage gratuit de trois fichiers ou moins, mais c'est juste un moyen de tromper les utilisateurs en leur faisant croire que le paiement est le seul moyen de surmonter l'attaque. Les experts en cybersécurité recommandent aux utilisateurs de créer régulièrement des copies de sauvegarde et de les utiliser pour récupérer les fichiers perdus. Pour la suppression efficace de RotorCrypt Ransomware, il est conseillé d'utiliser les services d'une suite antiviru réputée. Les moteurs AV incluent des règles pour détecter et étiqueter les objets et les clés de registre liés à RotorCrypt Ransomware comme:
- Gen:Variant.Ransom.RotorCrypt.1
- Gen:Variant.Razy.109164
- Ransom_CRYPROTO.A
- TR/Crypt.XPACK.Gen2
- Trojan ( 0050f06c1 )
- Trojan.Kryptik.Win32.1260728
- W32/RotoCrypt.C!tr
- Win32/Trojan.IM.801
- malicious_confidence_90% (W)