RZA Ransomware

Malgré l'absence d'améliorations significatives, le RZA Ransomware, une nouvelle variante appartenant à la famille des logiciels malveillants Dharma, est néanmoins une menace qui peut empêcher les utilisateurs d'accéder à leurs propres fichiers personnels ou professionnels. En lançant un processus de cryptage avec un algorithme cryptographique puissant, le RZA Ransomware rend inutilisables tous les documents, PDF, archives, bases de données, photos, etc. stockés sur l'ordinateur compromis.

Chaque fichier crypté est marqué par un changement radical de son nom. La menace ajoute d'abord un numéro d'identification pour les victimes spécifiques, suivi d'une adresse e-mail sous le contrôle des attaquants, et enfin, « .RZA » comme nouvelle extension de fichier. L'adresse e-mail placée dans les noms des fichiers cryptés est « ghostdog@onionmail.org ».

Lorsque la menace a fini de verrouiller les fichiers sur le système, elle procédera à la livraison de ses notes de rançon. Les utilisateurs se retrouvent avec deux versions du message exigeant une rançon. L'un est livré via un fichier texte nommé 'info.txt' tandis que les instructions appropriées sont présentées dans une fenêtre contextuelle.

Les demandes de RZA Ransomware

Les deux notes délivrées par la menace manquent de nombreux détails essentiels. Ils n'indiquent pas le montant de la rançon demandée par les pirates ni si l'argent devra être transféré en utilisant l'une des différentes crypto-monnaies. Habituellement, les opérateurs de ransomware permettent à leurs victimes d'envoyer quelques petits fichiers qui seront ensuite déchiffrés gratuitement. La note de RZA ne mentionne pas non plus une telle offre.

Il indique simplement que les victimes doivent d'abord envoyer un message à l'adresse e-mail « ghostdog@onionmail.org ». S'ils ne reçoivent pas de réponse dans les 12 heures, les utilisateurs concernés doivent essayer de contacter l'adresse de réserve à l'adresse 'ghostdog@msgsafe.io.' Le reste de la demande de rançon se compose de divers avertissements.

Le texte intégral du message affiché dans la fenêtre contextuelle est :

' VOS FICHIERS SONT CRYPTÉS
CHIEN FANTME

Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers !
Si vous souhaitez les restaurer, écrivez au mail : ghostdog@onionmail.org VOTRE ID 1E857D00
Si vous n'avez pas répondu par mail dans les 12 heures, écrivez-nous par un autre mail : ghostdog@msgsafe.io

ATTENTION!
Nous vous recommandons de nous contacter directement pour éviter de surpayer les agents

Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation des prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque.

Dans le fichier 'info.txt', les victimes trouveront les instructions suivantes :

toutes vos données nous ont été verrouillées
Vous voulez revenir ?
écrivez un e-mail à ghostdog@onionmail.org ou ghostdog@msgsafe.io .'