SHTORM Ransomware
SHTORM est un type de rançongiciel qui crypte les fichiers sur les ordinateurs infectés et exige un paiement en échange d'une clé de décryptage. Les premiers cas de SHTORM ont été détectés en 2019, et il a depuis été responsable de nombreuses attaques dans le monde. Le SHTORM Ransomware appartient à la famille de menaces Phobos Ransomware .
Table des matières
Comment le SHTORM Ransomware pénètre dans un ordinateur
Le SHTORM Ransomware est généralement diffusé via des sites Web torrent, des e-mails compromis, des publicités dangereuses ou des vulnérabilités dans les logiciels de l'ordinateur de la victime. Une fois installé, il analysera l'ordinateur à la recherche de types de fichiers spécifiques à chiffrer, tels que des documents, des images et des archives. Les fichiers cryptés sont renommés avec une extension unique, ".SHTORM", et deux notes de rançon nommées info.hta et info.txt sont laissées dans chaque dossier contenant des fichiers cryptés.
La note de rançon délivrée par le SHTORM Ransomware
La note de rançon contient généralement des instructions sur la façon de payer la rançon, qui est généralement exigée en Bitcoin ou dans une autre crypto-monnaie. Il fournit également les moyens de contacter les attaquants pour négocier les frais de rançon, dans ce cas les adresses mjk20@tutanota.com (Email), @Stop_24 (Telegram), Tox messenger.
Comme d'autres types de rançongiciels, SHTORM peut entraîner des perturbations et des pertes financières importantes pour les entreprises et les particuliers. Par conséquent, il est essentiel de prendre des mesures pour prévenir l'infection, telles que la mise à jour des logiciels, l'utilisation de mots de passe forts et la prudence lors de l'ouverture des e-mails et des pièces jointes d'expéditeurs inconnus. De plus, il est recommandé de sauvegarder régulièrement les fichiers cruciaux et de les conserver dans un emplacement sécurisé en cas d'attaque par ransomware.
Comment réagir en cas d’infection par le SHTORM Ransomware
Si votre ordinateur est infecté par le SHTORM Ransomware, la première étape consiste à le déconnecter immédiatement d'Internet. Cela empêchera toute nouvelle propagation de l'infection et empêchera le chiffrement de données supplémentaires. Vous devez également exécuter une analyse anti-malware sur votre système pour détecter tout fichier malveillant qui aurait pu être utilisé dans l'attaque.
Une fois que vous êtes sûr que votre système n'est plus connecté à Internet, essayez d'identifier les fichiers qui ont été chiffrés par SHTORM. Si possible, sauvegardez ces fichiers cryptés sur un périphérique de stockage externe ou un service de stockage en nuage afin de ne pas les perdre complètement si vous décidez de ne pas payer la demande de rançon.
Vous ne devriez jamais tenter de payer une demande de rançon car il n'y a aucune garantie que vous recevrez une clé de décryptage ou même déverrouillerez tous vos fichiers cryptés après avoir payé. Au lieu de cela, contactez un expert en sécurité qui peut vous aider à évaluer la situation et vous conseiller sur la meilleure façon de procéder. Ils peuvent être en mesure de récupérer vos fichiers sans payer la rançon.
Voici la note de rançon info.txt présentée par le SHTORM Ransomware à ses victimes :
'Tous vos fichiers ont été cryptés !
Tous vos fichiers ont été cryptés en raison d'un problème de sécurité avec votre PC. Si vous souhaitez les restaurer, écrivez-nous à l'e-mail mjk20@tutanota.com
Écrivez cet ID dans le titre de votre message 9ECFA84E-3351
Si vous ne recevez pas de réponse dans les 24 heures, veuillez nous contacter par compte Telegram.org : @Stop_24
Ou écrivez-nous au messager TOX : 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD
Vous pouvez télécharger TOX messenger ici hxxps://tox.chat/
Vous devez payer pour le décryptage en Bitcoins. Le prix dépend de la rapidité avec laquelle vous nous écrivez. Après le paiement, nous vous enverrons l'outil qui décryptera tous vos fichiers.
Décryptage gratuit comme garantie
Avant de payer, vous pouvez nous envoyer jusqu'à 3 fichiers pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 4 Mo (non archivés) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, feuilles Excel volumineuses, etc.)
Comment obtenir des bitcoins
Le moyen le plus simple d'acheter des bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquer sur "Acheter des bitcoins" et sélectionner le vendeur par mode de paiement et prix.
hxxps://localbitcoins.com/buy_bitcoins
Vous pouvez également trouver d'autres endroits pour acheter des Bitcoins et un guide pour débutants ici :
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez être victime d'une arnaque.'
Le message de rançon info.hta se lit comme suit :
'!!!Tous vos fichiers sont cryptés!!!
Pour les décrypter, envoyez un e-mail à cette adresse : mjk20@tutanota.com.
Si nous ne répondons pas dans les 24h, envoyez un message au télégramme : @Stop_24
Ou écrivez-nous au messager TOX : 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD'
