Temlo Ransomware

Une nouvelle variante de la famille VoidCrypt Ransomware a été lancée dans la nature. La menace s'appelle Temlo Ransomware et peut causer des dommages considérables aux ordinateurs violés. Comme toutes les autres variantes de la famille, Temlo est également conçu pour cibler des types de fichiers spécifiques et les verrouiller à l'aide d'un algorithme cryptographique indéchiffrable. Par la suite, les cybercriminels tentent d'extorquer de l'argent à leurs victimes en échange de la clé de décryptage et de l'outil qui pourraient potentiellement restaurer les informations verrouillées.

Détails techniques

Dans le cadre de son processus de cryptage, le Temlo Ransomware modifie également les noms d'origine des fichiers concernés. La menace suit les conventions de nommage associées à la famille VoidCrypt. Il ajoute une adresse e-mail, un numéro d'identification attribué à la victime et une nouvelle extension de fichier.

L'adresse e-mail utilisée dans les noms des fichiers cryptés est « temloown@gmail.com ». La nouvelle extension de fichier est '.temlo.' Les victimes de la menace se retrouvent avec une demande de rançon contenant des instructions des pirates. Le message est transmis sur l'appareil compromis sous la forme d'un fichier texte nommé « Decrypt-info.txt ».

Aperçu de la note de rançon

Selon la note, la première action entreprise par les victimes de Temlo Ransomware est de localiser un fichier spécifique qui a été créé sur leurs ordinateurs. Apparemment, les cybercriminels ont besoin de ce fichier pour avoir une chance de restaurer les données de l'utilisateur. Le fichier est nommé 'prvkey*.txt.key' et doit être situé sous C:\ProgramData.\ Cependant, les victimes sont invitées à vérifier tous leurs lecteurs.

Le fichier doit être envoyé à l'une des adresses e-mail fournies - 'temloown@gmail.com' et 'temloown@tuta.io.' Parallèlement, les victimes peuvent également envoyer plusieurs petits fichiers cryptés qui seront censés être déverrouillés gratuitement. Le dernier détail important mentionné dans la note est que la rançon doit être payée en utilisant la crypto-monnaie Bitcoin.

Le texte intégral de la demande de rançon est :

' Tous vos fichiers ont été cryptés

Vous devez payer pour récupérer vos fichiers

Allez dans C:\ProgramData\ ou dans Vos autres lecteurs et envoyez-nous le fichier prvkey*.txt.key , * peut être un nombre (comme ceci : prvkey3.txt.key)

Vous pouvez envoyer un fichier de moins de 1 Mo pour que le test de décryptage nous fasse confiance, mais le fichier de test ne doit pas contenir de données précieuses

Le paiement doit être avec Bitcoin
Changer Windows sans enregistrer le fichier prvkey.txt.key entraînera une perte de données permanente

Notre e-mail : temloown@gmail.com
en cas de non-réponse : temloown@tuta.io .'