Devis de remise multi-licences
Données concernant les menaces Ransomware Theft Ransomware

Theft Ransomware

Par Mezo en Ransomware
Se traduisent par :

Le contexte actuel des menaces est impitoyable. Les cybercriminels perfectionnent constamment leurs outils pour exploiter les utilisateurs non préparés. Parmi les menaces les plus dangereuses figurent les rançongiciels, des logiciels malveillants qui chiffrent les données et extorquent de l'argent à leurs victimes. Une variante émergente, connue sous le nom de rançongiciel voleur, a déjà été observée, causant des ravages sur des systèmes peu méfiants.

Qu’est-ce qui rend les rançongiciels de vol dangereux ?

Le rançongiciel voleur est une nouvelle souche liée à la célèbre famille de rançongiciels Dharma, un groupe connu pour cibler aussi bien les particuliers que les organisations. Une fois infiltré dans un appareil, le logiciel malveillant chiffre les fichiers et les renomme en ajoutant :

  • Un identifiant de victime unique
  • L'adresse e-mail des attaquants
  • L'extension « .theft »

Par exemple, « 1.png » devient « 1.png.id-9ECFA84E.[datatheft@tuta.io].theft ».

Les victimes sont ensuite confrontées à des demandes de rançon sous forme de fichiers texte (« info.txt ») et d'une fenêtre contextuelle. Si la demande est concise et ne fournit que les coordonnées, la fenêtre contextuelle offre davantage de détails, notamment l'assurance que les données seront récupérées moyennant le paiement de la rançon. Les attaquants offrent même une « preuve de déchiffrement » en permettant la restauration gratuite de trois petits fichiers non critiques.

Pour accentuer la pression, les criminels prétendent avoir volé des données commerciales sensibles et menacent de les divulguer si le paiement est refusé.

Caractéristiques techniques de la menace

Comme d'autres variantes basées sur Dharma, Theft Ransomware ne verrouille pas l'intégralité des systèmes, mais chiffre les fichiers locaux et partagés sur le réseau. Le malware :

  • Termine les processus liés aux fichiers en cours d'utilisation (bases de données, lecteurs, etc.)
  • Se copie dans le chemin %LOCALAPPDATA% et enregistre la persistance via les clés Run
  • Se configure pour démarrer automatiquement avec les redémarrages du système
  • Supprime les clichés instantanés de volume pour empêcher une récupération facile

Le logiciel malveillant collecte également des données de géolocalisation pour déterminer s'il faut procéder au chiffrement, en excluant éventuellement certaines régions.

Comment l’infection se propage

Les rançongiciels utilisent de multiples tactiques d'infiltration, la plus courante étant les services RDP (Remote Desktop Protocol) faiblement sécurisés. Les attaques par force brute et par dictionnaire contre les comptes mal protégés constituent un point d'entrée fréquent. Une fois à l'intérieur, le logiciel malveillant peut même désactiver les pare-feu pour faciliter son fonctionnement.

D'autres canaux de distribution bien connus incluent :

Hameçonnage et ingénierie sociale – Pièces jointes ou liens malveillants dans les e-mails, les messages privés et les publications.

Chevaux de Troie et portes dérobées – Utilisés pour déposer le ransomware en silence.

Malvertising et téléchargements intempestifs – Déclenchés simplement par la visite d’un site Web compromis.

Sources de logiciels suspectes – Outils piratés, offres groupées de logiciels gratuits et fausses mises à jour.

Supports amovibles et réseaux locaux : ils permettent au logiciel malveillant de se propager en interne une fois qu’il atterrit sur un système.

Pourquoi payer la rançon est un pari risqué

Déchiffrer des fichiers chiffrés suite à un vol sans la clé des attaquants est quasiment impossible. Si certaines variantes de rançongiciels présentent des failles, les menaces basées sur Dharma sont généralement robustes. Il est important de noter que le paiement de la rançon n'offre aucune garantie de récupération ; de nombreuses victimes se retrouvent les mains vides, même après avoir transféré les fonds. Pire encore, le paiement ne fait que financer d'autres opérations criminelles.

Renforcez vos défenses contre les ransomwares

La meilleure façon de lutter contre les rançongiciels de vol est la prévention. La suppression du logiciel malveillant ne restaurant pas automatiquement les fichiers chiffrés, les utilisateurs doivent privilégier la résilience et une défense proactive. Voici quelques pratiques clés que chaque utilisateur devrait adopter :

  • Sauvegardes régulières – Conservez des copies des fichiers importants sur plusieurs emplacements sécurisés, tels que des lecteurs hors ligne et des services cloud non mappés au système infecté.
  • Mettre à jour les logiciels et les systèmes – Appliquer des correctifs pour fermer les vulnérabilités exploitées par les ransomwares.
  • Utilisez une authentification forte – Sécurisez les services RDP avec des mots de passe uniques et complexes et activez l’authentification multifacteur.
  • Soyez prudent avec les e-mails et les liens – N’ouvrez pas de pièces jointes inattendues et ne cliquez pas sur des liens inconnus, même s’ils semblent légitimes.
  • Restreindre les droits administratifs – Limitez les privilèges pour réduire l’impact de l’exécution potentielle de logiciels malveillants.
  • Installez des outils de sécurité réputés – Utilisez des solutions anti-malware avec des fonctionnalités de protection contre les ransomwares.
  • Désactiver les macros et les scripts – De nombreuses attaques de ransomware sont déclenchées via des documents ou des scripts Office.
  • Réseaux de segments – Empêchez les logiciels malveillants de se propager latéralement dans les environnements professionnels.

Réflexions finales

Le rançongiciel « Theft Ransomware » met en lumière l'évolution continue de la famille Dharma et son rôle persistant dans les campagnes mondiales de rançongiciels. Sa combinaison de chiffrement, de vol de données et d'extorsion le rend particulièrement dévastateur. La récupération de fichiers étant souvent impossible sans sauvegardes propres, la seule véritable défense réside dans une prévention multicouche, une cybersécurité rigoureuse et des stratégies de récupération fiables.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Posts relatifs

Arnaque « Grand Theft Auto (GTA) VI Giveaway »

Hameçonnage, Courrier indésirable
Le soi-disant « Grand Theft Auto (GTA) VI Giveaway » est un système de cryptographie frauduleux conçu stratégiquement pour profiter des individus désireux d'explorer les opportunités dans le secteur des cryptomonnaies. Les auteurs de cette arnaque utilisent une approche trompeuse en se faisant passer pour des entités généreuses offrant des actifs numériques gratuits. En outre, les escrocs...

Tendance

Le plus regardé

Chargement...