Work Ransomware
Le cheval de Troie Work Ransomware est une crypto-menace qui a été annoncée au public le 15 décembre 2017. Les analystes de logiciels malveillants ont signalé que les messages d'hameçonnage contenant des documents macros et des logos de sociétés fiables transmettaient la charge de Work Ransomware à des utilisateurs non avertis. Les scripts de macro sont interprétés par le système d'exploitation Windows comme des commandes directes de l'utilisateur au niveau de l'administrateur, et c'est la raison pour laquelle nous continuons à voir des auteurs de menaces exploiter des macros. Par conséquent, de nombreux experts en sécurité informatique incitent les utilisateurs à désactiver la fonctionnalité macro dans les suites bureautiques comme Microsoft Office, Libre Office et OpenOffice afin de minimiser la surface d'attaque sur leur système.
Work Ransomware est un produit des mêmes auteurs qui se cachent derrière Kill CryptFILe2 Ransomware, également considéré connu sous le nom de CryptMix Ransomware sur les newsletters de cybersécurité et les journaux AV. La menace actuelle n'est pas trop différente de Shark01@msgden.com Ransomware, X1881 Ransomware et de Empty Ransomware, qui sont basés sur le même code source. L'analyse du code a confirmé qu'il y a de légères modifications à la procédure de cryptage et à l'empaquetage des ressources, mais la fonctionnalité et le comportement de base sont les mêmes. Le logiciel Work Ransomware utilise les mêmes algorithmes que ses prédécesseurs, mais il communique avec un nouvel ensemble de serveurs « Commandement et Contrôle », ainsi que les victimes directes pour écrire dans les nouveaux comptes de messagerie si elles souhaitent récupérer leurs données. Malheureusement, Work Ransomware peut chiffrer des informations telles que photos, musique, vidéos, documents bureautiques, livres électroniques et bases de données sans donner aux chercheurs de logiciels malveillants la possibilité de construire un décrypteur sans la clé de décryptage privée. Cela permet aux cybercriminels responsables de Work Ransomware de mettre un point d'honneur à vendre le décrypteur dont vous auriez besoin pour reconstruire vos données. Le message de la rançon est présenté sous forme '_HELP_INSTRUCTION.TXT', susceptible d'être trouvé sur le bureau. La note se lit comme suit:
'Attention! Toutes Vos données ont été cryptées!
Pour des informations spécifiques, veuillez nous envoyer un email avec votre numéro d'identification:
worknow@keemail.me
worknow@protonmail.com
worknow8@yandex.com
worknow9@yandex.com
worknow@techie.com
Veuillez envoyer un courriel à toutes les adresses e-mail! Nous vous aiderons dès que possible!
IMPORTANT: N'UTILISEZ AUCUN LOGICIEL PUBLIC! IL PEUT ENDOMMAGER VOS DONNÉES POUR TOUJOURS!'
Les conteneurs de données chiffrés sont renommés et leurs noms ressemblent à une chaîne de trente-deux caractères aléatoires et accompagnés de l'extension '.WORK'. Par exemple, 'Kepler-90i.pptx' peut être renommé en quelque chose comme 'TRUPE207G8TZVVC4K1BEMAD5660Q1B.WORK'. Naturellement, les noms modifiés vont surprendre les utilisateurs et Windows Explorer utilise des icônes vierges génériques pour les objets cryptés. Les opérateurs de ransomware peuvent proposer des services de décryptage via 'worknow@keemail.me,' 'worknow@protonmail.com,' 'worknow8@yandex.com,' 'worknow9@yandex.com,' and 'worknow@techie.com', mais il n'y a aucune garantie qu'ils tiendraient parole et vous enverraient un décrypteur. C'est pourquoi vous devriez envisager une alternative plus sûre – supprimer Work Ransomware à l'aide d'un utilitaire anti-malware de confiance et démarrer les copies de sauvegarde pour le processus de récupération. Les programmes antivirus peuvent trouver les fichiers créés par Work Ransomware et les marquer comme suit:
- Gen:Variant.Ransom.CryptoMix.2
- TSPY_EMOTET.SMD2
- Trojan ( 0052035d1 )
- Trojan.Ransom.CryptoMix
- Trojan/Win32.Matrixran.R215115
- W32/EMOTET.SMD2!tr
- Win32.Trojan.Blocker.Sxyq
- malware (ai score=100)
