VideoBelle Ransomware

VideoBelle est un logiciel de type ransomware qui utilise un algorithme de cryptage AES pour bloquer l'accès aux données de l'utilisateur. Le ransomware est d'origine prétendument française, en raison de la note qui est rédigée en français. Sa généalogie provient du ransomware HiddenTear, qui était un code source ouvert, permettant à quiconque d'accéder à l'escroquerie du ransomware. Les premières variantes ne se sont pas éloignées des originaux, comme c'est le cas avec VideoBelle et sa méthode de cryptage AES. Il place l'extension '.locked' à la fin des fichiers affectés.

SHA256 a une signature d'algorithme, qui est la suivante: 6e4a0d0188787d57fd7eaed4e558034062af97150e3d84ffea0d4dda1fe2c3a2. La présence de ce ransomware a d'abord été repéré la deuxième moitié d'août 2017. Elle s'adresse principalement aux utilisateurs français, mais cela ne l'empêche pas d'affecter d'autres utilisateurs à travers le monde. La note de rançon porte le nom Message_Important.txt, et elle exige une rançon de 150 euros dans Bitcoins. Le contenu de la note laisse des détails sur ce que les utilisateurs doivent faire pour décrypter leurs fichiers:

'instruction à faire pour recuperer la clé de décryptage de vos fichiers crypter
email de contact: fbi-cybercrimedivision@hotmail.com
1) acheter des bitcoins de 150 €, euros à n'importe quelle site de bitcoins.
2) vous pouvez acheter rapidement les bitcoins ici https://localbitcoins.com
3) envoyer les bitcoins à cette adresse: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
4) dès que je reçois les bitcoins je vous envoie la clé de décryptage par email,
divers information bitcoin xxxxs: / /achterbtcoin.info'

Traduit du français, ces instructions indiquent que les utilisateurs doivent contacter les propriétaires de ransomware sur cybercrimedivision@Hotmail[dot]com. Ils doivent ensuite acheter 150 euros de Bitcoins à partir de n'importe quel site qui le vend. Selon la note les utilisateurs peuvent acheter Bitcoins à localbitcoins[dot]com, qu'ils peuvent envoyer au portefeuille Bitcoin suivant: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi. Les attaquants derrière VideoBelle ransomware affirment qu'ils enverront la clé de décryptage par courrier électronique, même s'il est déconseillé de suivre leurs instructions, car dans la plupart des cas, ce n'est pas une pratique des hackers qui se cachent derrière ce type de menaces. VideoBelle Ransomware peut être diffusé via configurations RDP non protégées, pièces jointes corrompues dans les courriers indésirables, exploits, téléchargements trompeurs, mises à jour fausses, injections Web, installateurs infectés et plus encore. Le ransomware dépose sa note sur le bureau de la machine infectée.