Rozlok Ransomware

Rozlok Ransomware représente l'une des deux nouvelles versions de RSA2048Pro Ransomware que dont nous avons parlé en août 2017. Il semble que les codeurs derrière Rozlok Ransomware ont lancé deux nouvelles vagues de spams aux utilisateurs de PC dans l'espoir qu'ils téléchargeraient et installeraient Rozlok Ransomware ou Pulpy Ransomware qui a apparu le 26 décembre 2017. Les deux produits partagent le même code de base et ils cryptent les données de la même manière. Cependant, les utilisateurs concernés sont invités à contacter 'rozlok@protonmail.com, 'pulpy2@cock.li,' 'pulpy@cock.li' et 'pulpy@protonmail.ch'. En outre, les deux menaces envahissent les machines Windows via fichiers DOCX à extension macro. Les programmeurs de logiciels malveillants associés à Rozlok Ransomware et Pulpy Ransomware utilisent le marqueur de fichier '.AES' et ils affichent une notification de rançon sous forme d'une courte note intitulée 'Instruction.txt'. Rozlok Ransomware et son clone légèrement différent sont conçus pour appliquer un chiffrement AES-256 aux objets ciblés sur les lecteurs de mémoire locaux et pour diriger les utilisateurs à écrire un e-mail à un ensemble de comptes de messagerie — 'rozlok@protonmail.com, 'pulpy2@cock.li,' 'pulpy@cock.li' et 'pulpy@protonmail.ch'. Les ordinateurs infectés restent stables après la compromission de sécurité car les deux menaces ne peuvent pas éditer les fichiers et les dossiers système, mais ils peuvent verrouiller l'accès au contenu généré par l'utilisateur comme les photos, la musique et les vidéos téléchargées, les documents et les bases de données. Le message dans 'Instruction.txt' se lit comme suit:

'Bonjour, tous vos fichiers ont été cryptés. Vous pouvez les déchiffrer si vous m'écrivez à l'adresse suivante:pulpy2@cock.li Sinon, tous vos fichiers seront supprimés dans 2 jours sans aucun problème!'

Comme mentionné ci-dessus, Rozlok/Pulpy Ransomware ajoute un marqueur de fichier personnalisé. Par exemple, 'Green lacewings.jpeg' est transcodé, la version originale est supprimée avec son cliché instantanée de volume (Windows fait des copies de fichiers sur votre disque pour aider à la récupération de données lorsque vous en avez besoin) et l'utilisateur est montré 'Green lacewings.jpeg.AES' qui est représenté par une icône blanche générique. Rozlok/Pulpy Ransomware est aussi efficace que '.exx File Extension' Ransomware et '.aes256 File Extension' Ransomware. Par conséquent, vous aurez besoin d'un produit anti-malware crédible qui peut éliminer le cheval de Troie sur votre système et permettre une récupération de données en toute sécurité. Utilisez les archives et les images de sauvegarde pour reconstruire votre structure de fichiers. Les programmes AV détectent et suppriment les objets liés à Rozlok/Pulpy Ransomware marqués comme:

• Ransom.CryptXXX
• Ransom:MSIL/Rasoon.A
• Suspicious_GEN.F47V1229
• TR/Ransom.yuekp
• Trojan ( 700000121 )
• Trojan-Ransom.MSIL.Agent.gpo
• Trojan.Razy.D37DED
• Trojan.Win32.Generic!BT
• une variante de MSIL/Filecoder.JB