Temlown Ransomware
L'analyse du Temlown Ransomware révèle qu'il s'agit d'une variante de la famille VoidCrypt Ransomware. Temlown Ransomware affiche également les caractéristiques typiques associées à la famille de menaces VoidCrypt Ransomware. Malgré l'absence de nouvelles fonctionnalités menaçantes, Temlown est toujours une menace qui peut causer des dommages importants en verrouillant les fichiers stockés sur les systèmes compromis.
Pendant le processus de cryptage, Temlown modifie radicalement les noms des fichiers concernés. La menace suit le modèle - nom d'origine, adresse e-mail des attaquants, identifiant de la victime et nouvelle extension de fichier. Par exemple, un fichier nommé 'Image1.jpg' sera renommé en 'Image1.jpg.[noitanimodd@gmail.com][nJ-OB5624980157].temlown.' Lors du cryptage de tous les fichiers ciblés, la menace fournira une demande de rançon sous forme de fichier texte nommé «Read-this.txt».
Détails de la note de rançon
Le message fourni par la menace indique aux utilisateurs que la première action qu'ils doivent entreprendre est de localiser un fichier nommé "prvkey.txt.key". Son emplacement par défaut doit être dans le dossier C:\ProgramData\. Apparemment, ce fichier est crucial pour la restauration des données et sans lui, même les attaquants ne pourront pas déchiffrer les fichiers.
La note indique également que la rançon devra être payée en utilisant la crypto-monnaie Bitcoin. Pour en savoir plus, les victimes sont invitées à envoyer un message aux e-mails «noitanimodd@gmail.com» et «temloown@tuta.io». Un seul fichier d'une taille inférieure à 1 Mo peut être joint au message pour être déchiffré et renvoyé gratuitement par les pirates.
Le texte intégral de la note de Temlown Ransowmare est:
' Tous vos fichiers ont été cryptés
Vous devez payer pour récupérer vos fichiers
Allez dans C:\ProgramData\ ou dans Vos autres lecteurs et envoyez-nous le fichier prvkey.txt.key
Vous pouvez envoyer un fichier de moins de 1 Mo pour que le test de décryptage nous fasse confiance, mais le fichier de test ne doit pas contenir de données précieuses
Le paiement doit être avec Bitcoin
Changer Windows sans enregistrer le fichier prvkey.txt.key entraînera une perte de données permanente
Notre e-mail : noitanimodd@gmail.com
en cas de non-réponse : temloown@tuta.io .'