The Magic Ransomware

Magic Ransomware est un cheval de Troie de type encodeur qui a été découvert le 17 octobre 2017. Les experts en matière de sécurité informatique qui ont travaillé avec des échantillons de Magic Ransomware indique qu'il s'infiltre dans les ordinateurs ciblés en parallèle d'autres documents via messages de spam. La charge utile de Magic Ransomware peut être livrée sous forme de fichier PDF et DOCX, qui peut être présenté comme une facture, une lettre de confirmation de paiement, un CV ou un rapport de livraison de colis.

Un rapport détaillé sur The Magic Ransomware a confirmé que la menace est basée sur la plate-forme de ransomware gratuite HiddenTear. Les chercheurs de logiciels malveillants notent que The Magic Ransomware est presque identique aux chevaux de Troie comme Unikey Ransomware et AnonFive Ransomware, qui sont basés sur la dernière itération du projet HiddenTear. Les statistiques montrent que le cheval de Troie The Magic Ransomware est destiné principalement aux utilisateurs italophones. The Magic Ransomware utilise une combinaison des algorithmes RSA et AES, ce qui est typique pour le programme c'est qu'il ajoute l'extension '.locked' à la fin des noms de fichiers infectés. Par exemple, « Sierra Leone.jpeg » est renommé par la menace « Sierra Leone.jpeg.locked » et l'image peut comporter une icône blanche générique. The Magic Ransomware est enregistré pour chiffrer vos documents, images, musique, vidéos et bases de données. Les tests de laboratoire ont montré que The The Magic Ransomware est programmé pour déposer "READ_IT.txt" sur le bureau des utilisateurs infectés. Le fichier texte est ouvert dans l'application Bloc-notes de Microsoft après le chiffrement automatique des données ciblées. Le message est écrit en italien et traduit en français comme suit:

'Cet ordinateur a été piraté
Vos données personnelles ont été cryptées. Ils seront irréparables
jusqu'à ce que vous payiez la rançon ... Il est inutile d'essayer de les déchiffrer... Maintenant, c'est que moi qui peux le faire, suivez
ces étapes pour récupérer vos fichiers:
1 Accédez à h[tt]ps://localbitcoins.com/
2 Recherchez un vendeur Bitcoin
3 payez pour adresser [CARACTÈRES ALÉATOIRES]
le montant de 100 euros si vous ne savez pas ce que bitcoin est:
h[tt]ps://www.focusjunior.it/tecnologia/bitcoin-cosa-sono-e-come-funzionano ou regardez le site suivant xxxxs: www[.]youtube[.]com/watch?v=g72aeVoOGLg
Dès que vous effectuez le paiement, vous recevrez la clé pour déchiffrer les données et récupérer les données ...
toutes les données seront détruites pour toujours dans les 48 heures
Bonne chance
THE MAGIC :')’

Les utilisateurs compromis peuvent remarquer que The Magic Ransomware change l'arrière-plan du bureau en un écran noir avec le titre « VOUS AVEZ ÉTÉ PIRATÉ! coloré en vert clair. The Magic Ransomware peut s'exécuter en tant que 'fattura.exe' sur les périphériques infectés, et il est impossible de déchiffrer les données affectées. La récupération peut être obtenue par l'utilisation d'images de sauvegarde et de disques de récupération auxquels l'ordinateur n'a pas accédé après son infection. Payer la rançon n'est pas une bonne idée car vous risquez de perdre votre argent et vos données. Nous encourageons les utilisateurs à utiliser les services d'une solution de sécurité réputée qui peut supprimer The Magic Ransomware et qui vous permettra de récupérer vos données en toute sécurité. Les sociétés antivirus peuvent se référer aux fichiers The Magic Ransomware comme:

• MSIL.Trojan-Ransom.Cryptear.A
• MSIL/Generic.AP.A67700!tr
• Malware/Win32.Generic.C1020407
• Ransom.Ryzerlo.FC.1834
• Ransom_CRYPTEAR.SM0
• Ransomware-FTD!11363B4CAD63
• TR/Downloader.toikn
• Trojan.Ransom.HiddenTears.1
• Win.Trojan.Agent-6349538-0