Unknown Ransomware

Les chercheurs ont découvert une nouvelle variante de ransomware, qui est suivie sous le nom de Unknown Ransomware. Ce logiciel menaçant crypte les fichiers et modifie leurs noms de fichiers, en leur ajoutant l'ID de la victime, l'adresse e-mail "masterfix@tuta.io" et l'extension ".unknown". The Unknown Ransomware crée également deux notes de rançon sous la forme de fichiers « info.hta » et « info.txt ». Le rançongiciel inconnu appartient à la famille de logiciels malveillants Phobos .

Un aperçu des exigences des Unknown Ransomware

The Unknown Ransomware crypte les données des victimes et exige le paiement d'une rançon en échange du décryptage. Les victimes sont invitées à contacter les acteurs de la menace par e-mail ("masterfix@tuta.io") ou par télégramme ("@Stop_24") pour recevoir des instructions supplémentaires. La note de rançon principale ('info.hta') indique que le prix du décryptage des données dépend de la rapidité avec laquelle les victimes contactent l'auteur de la menace. Il met également en garde contre toute tentative de décryptage de fichiers à l'aide d'un logiciel tiers, car cela pourrait entraîner la perte permanente de vos données. Les victimes ont la possibilité d'envoyer jusqu'à cinq fichiers pour un décryptage gratuit.

Comment les menaces comme les Unknown Ransomware infectent-elles les appareils ?

L'une des méthodes les plus utilisées pour diffuser des rançongiciels consiste à utiliser des pièces jointes militarisées. Ces e-mails contiennent souvent des fichiers exécutables contenant des logiciels malveillants ou des macros corrompues intégrées dans des documents pour infecter votre système lorsque les victimes les ouvrent.

Les téléchargements intempestifs ou la publicité malveillante peuvent également être utilisés comme moyen de diffuser des menaces de ransomware. Les téléchargements automatiques permettent aux pirates d'installer à distance des logiciels malveillants sur les ordinateurs d'utilisateurs sans méfiance à leur insu ou sans leur consentement. Ils utilisent souvent des fenêtres contextuelles ou des redirections qui obligent les utilisateurs à télécharger des rançongiciels cachés sur leurs systèmes sans jamais visiter un site Web, cliquer sur une pièce jointe à un e-mail ou accepter tout type d'invite de téléchargement.

La demande de rançon s'affiche dans une fenêtre contextuelle et indique :

'Tous vos fichiers ont été cryptés !
Tous vos fichiers ont été cryptés en raison d'un problème de sécurité avec votre PC. Si vous souhaitez les restaurer, écrivez-nous à l'e-mail masterfix@tuta.io
Écrivez cet ID dans le titre de votre message -
Si vous ne recevez pas de réponse dans les 24 heures, veuillez nous contacter par compte Telegram.org : @Stop_24
Vous devez payer pour le décryptage en Bitcoins. Le prix dépend de la rapidité avec laquelle vous nous écrivez. Après le paiement, nous vous enverrons l'outil qui décryptera tous vos fichiers.
Décryptage gratuit comme garantie
Avant de payer, vous pouvez nous envoyer jusqu'à 5 fichiers pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 4 Mo (non archivés) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, feuilles Excel volumineuses, etc.)
Comment obtenir des bitcoins
Le moyen le plus simple d'acheter des bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquer sur "Acheter des bitcoins" et sélectionner le vendeur par mode de paiement et prix.
hxxps://localbitcoins.com/buy_bitcoins
Vous pouvez également trouver d'autres endroits pour acheter des Bitcoins et un guide pour débutants ici :
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez être victime d'une arnaque.'

Le message demandant une rançon livré sous forme de fichier texte se lit comme suit :

'!!!Tous vos fichiers sont cryptés!!!
Pour les décrypter, envoyez un e-mail à cette adresse : masterfix@tuta.io.
Si nous ne répondons pas dans les 24h, envoyez un message au télégramme : @Stop_24'