TransCrypt Ransomware verrouille les lecteurs infectés
En examinant le malware TransCrypt, nous avons constaté qu'il s'agit d'une forme de ransomware dérivé du ransomware Chaos. TransCrypt fonctionne en cryptant les fichiers, en ajoutant des extensions aléatoires aux noms de fichiers, en modifiant le fond d'écran du bureau et en envoyant une demande de rançon nommée "RECOVERFILES.txt".
Pour illustrer comment TransCrypt modifie les noms de fichiers, considérons l'exemple de renommage de « 1.jpg » en « 1.jpg.wwm1 » et de « 2.png » en « 2.png.vile », entre autres modifications.
La demande de rançon explique le cryptage de l'ordinateur de la victime à l'aide d'un algorithme de niveau militaire, soulignant l'impossibilité de récupération sans l'aide des rançonneurs. La note dissuade les victimes de rechercher des solutions alternatives et souligne la nécessité d'utiliser leur service de décryptage.
La demande de rançon garantit une récupération sécurisée et simple de tous les fichiers lors du paiement. Il fournit des instructions spécifiques à la victime, notamment l'achat de 500 $ de bitcoin et son envoi à une adresse spécifiée. De plus, les victimes sont invitées à envoyer par courrier électronique une preuve de la transaction ainsi que leur clé de déchiffrement à tramoryp@proton.me.
Note de rançon TransCrypt dans son intégralité
Le texte complet de la demande de rançon TransCrypt est le suivant :
you became a victim of the transcrypt ransomware!
the harddisk of your computer have been encrypted with an military grade encryption algorithm.
there is no way to restore your data without our help.
perhaps you are busy looking for a way to recover your files,but don’t waste your time.
nobody can recover your files without our decryption service.we garantee that you can recover all your files safely and easily……..
all you need to do is submit the payment and purchase the decryption key…please follow the instructions:
- buy 500 dollars worth of bitcoin
- send the bitcoin to the following btc-adress: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
- send an email to tramoryp@proton.me with proof of
the transaction and your decryption key -
Comment un ransomware comme TransCrypt peut-il pénétrer dans votre système ?
Les ransomwares, y compris des variantes comme TransCrypt, peuvent infiltrer les systèmes informatiques par divers moyens. Voici les méthodes courantes par lesquelles les ransomwares accèdent aux systèmes :
E-mails de phishing : les cybercriminels utilisent souvent des e-mails de phishing pour distribuer des ransomwares. Ces e-mails peuvent contenir des pièces jointes ou des liens malveillants qui, une fois cliqués, téléchargent et exécutent le ransomware sur le système de la victime. Les e-mails peuvent être déguisés en messages légitimes provenant de sources fiables, invitant le destinataire à ouvrir une pièce jointe ou à cliquer sur un lien.
Sites Web malveillants : la visite de sites Web compromis ou malveillants peut exposer votre système à des ransomwares. Certains sites Web peuvent exploiter des vulnérabilités du navigateur ou des plug-ins pour diffuser et exécuter des ransomwares à l'insu de l'utilisateur.
Publicité malveillante : la publicité malveillante, ou publicité malveillante, implique que les cybercriminels placent des publicités infectées sur des sites Web légitimes. Cliquer sur ces publicités peut conduire au téléchargement et à l'exécution d'un ransomware sur le système de la victime.
Téléchargements drive-by : les ransomwares peuvent être diffusés via des téléchargements drive-by, où les logiciels malveillants sont automatiquement téléchargés et installés sur l'appareil d'un utilisateur sans son consentement, souvent lors de la visite de sites Web compromis.
Exploiter les vulnérabilités des logiciels : les créateurs de ransomwares exploitent souvent les vulnérabilités des logiciels, des systèmes d'exploitation ou des applications pour obtenir un accès non autorisé à un système. Il est crucial de maintenir les logiciels à jour pour corriger les vulnérabilités connues.
Attaques du protocole de bureau à distance (RDP) : si le protocole de bureau à distance n'est pas correctement sécurisé, les attaquants peuvent utiliser des attaques par force brute ou exploiter des mots de passe faibles pour accéder à un système. Une fois à l’intérieur, ils peuvent déployer un ransomware.