Crocodile Smile Ransomware hébergera vos données en otage

Au cours d'une enquête sur de nouveaux échantillons de fichiers, nos chercheurs ont découvert le ransomware Crocodile Smile. Ce logiciel malveillant fonctionne en cryptant les données puis en exigeant un paiement en échange du décryptage.

Lors de l’exécution d’un échantillon de Crocodile Smile sur notre machine de test, celui-ci a immédiatement lancé le processus de cryptage. Les noms de fichiers concernés ont été modifiés avec une extension « .CrocodileSmile » ; par exemple, « 1.jpg » est devenu « 1.jpg.CrocodileSmile », « 2.png » est devenu « 2.png.CrocodileSmile », et ainsi de suite pour tous les fichiers cryptés.

Une fois le processus de cryptage terminé, Crocodile Smile a modifié le fond d'écran du bureau et généré une demande de rançon intitulée « READ_SOLUTION.txt ».

Le contenu de la demande de rançon indique que Crocodile Smile cible principalement les grandes organisations plutôt que les utilisateurs individuels. Les victimes sont probablement situées en Europe, comme le laisse entendre une ligne de la demande de rançon qui mentionne le respect de la réglementation européenne sur la protection des données, indiquant que l'accent est mis sur l'information des victimes sur la violation et la fourniture d'une assistance.

Le message véhiculé dans la demande de rançon informe la victime que ses fichiers ont été cryptés et que ses données sensibles ont été compromises. Il leur est demandé de payer 20,6 BTC (monnaie cryptomonnaie Bitcoin) pour obtenir la clé de décryptage et empêcher les attaquants de divulguer les données volées. Au moment de la rédaction de cet article, ce montant équivaut à environ 1,4 million de dollars. Il semble donc évident que le ransomware cible les entreprises et les organisations et non les utilisateurs particuliers.

La note de rançon Crocodile Smile essaie de paraître drôle

Le texte intégral de la demande de rançon Crocodile Smile se lit comme suit :

If you are opportune to see this message right now, that means your data security has been compromised !!!

You have been hit hard by a sophisticated Ransomware Attack by CROCODILE SMILE, LOL. This Attack is known as OPERATION FLUSH.

All your critical and confidential files, including private documents, photos, databases, and other important informations, have been encrypted, leaked, and transferred to our servers.

In accordance with European data protection regulations, we are reaching out to inform you of this breach and to offer assistance in recovering your encrypted files.

We acknowledge the gravity of the situation and are fully dedicated to swiftly delivering a solution. Our priority is to safeguard your organization's reputation and ensure the confidentiality of your files and documents remains intact, free from any leaks or compromises.

To initiate the decryption process and retrieve your files, please follow these official steps:

1) Contact our designated communication channel via Telegram ID: CrocodileSmile

2) Make the necessary arrangements to obtain 20.6 Bitcoin, as payment for the decryption service. Please note that decryption can only be completed upon receipt of payment in Bitcoins.

3) Upon successful payment, we will provide you with the decryption key required to swiftly decrypt all affected files. We assure you that compliance with these instructions is crucial for the recovery of your data.

We urge you to act swiftly to mitigate further data loss and restore the integrity of your information assets. Should you require any clarification or assistance, do not hesitate to contact us through the designated communication channel.

Comment pouvez-vous protéger de manière préventive vos données contre les attaques de ransomwares ?

La protection préventive de vos données contre les attaques de ransomwares implique la mise en œuvre de plusieurs mesures proactives pour minimiser le risque d'infection et atténuer les dommages potentiels. Voici quelques stratégies que vous pouvez adopter :

Sauvegardez régulièrement : effectuez des sauvegardes régulières de vos données importantes sur des disques durs externes, un stockage cloud ou des serveurs de sauvegarde. Assurez-vous que les sauvegardes sont stockées hors ligne ou dans un segment de réseau distinct pour empêcher les ransomwares de les chiffrer.

Mise à jour du logiciel : gardez tous les systèmes d'exploitation, applications et logiciels de sécurité à jour avec les derniers correctifs et mises à jour de sécurité. Les vulnérabilités des logiciels obsolètes peuvent être exploitées par des ransomwares.

Utilisez des logiciels antivirus et anti-malware : installez des programmes antivirus et anti-malware réputés sur tous les appareils et assurez-vous qu’ils sont régulièrement mis à jour. Ces outils peuvent détecter et bloquer les infections par ransomware.

Utiliser des mesures de sécurité des e-mails : mettre en œuvre des solutions de filtrage et d'analyse des e-mails pour détecter et bloquer les pièces jointes et les liens suspects pouvant contenir des ransomwares. Éduquez les employés sur les risques liés aux e-mails de phishing et encouragez un comportement prudent lorsque vous ouvrez des pièces jointes ou cliquez sur des liens.

Activer la protection par pare-feu : utilisez des pare-feu pour surveiller et contrôler le trafic réseau entrant et sortant, bloquant les accès non autorisés et les connexions potentiellement malveillantes.

Restreindre les privilèges des utilisateurs : limitez les autorisations des utilisateurs au seul niveau nécessaire pour effectuer leurs tâches. Restreindre les privilèges administratifs peut aider à empêcher les ransomwares de se propager sur les réseaux.