CursoDFIR Ransomware contient une note de rançon en portugais

En examinant de nouveaux échantillons de logiciels malveillants, nous sommes tombés sur cursoDFIR, un type de ransomware conçu pour crypter des fichiers. De plus, cursoDFIR ajoute son extension (« .cursoDFIR ») aux noms de fichiers, modifie l'arrière-plan du bureau et génère un document texte (« meleaicara.txt ») contenant un message de rançon.

Une illustration de la façon dont cursoDFIR renomme les fichiers cryptés : « 1.jpg » devient « 1.jpg.cursoDFIR », « 2.png » se transforme en « 2.png.cursoDFIR », et ainsi de suite. Ce message de rançon, rédigé en portugais, exige un paiement en échange du décryptage des fichiers verrouillés par cursoDFIR. Il accuse la victime d'avoir tenté de télécharger un logiciel Microsoft piraté et prévoit un paiement en monnaie numérique pour obtenir la clé de décryptage.

Il est important de souligner que ce message de rançon ne contient aucune coordonnée, ce qui s'écarte de la norme en matière de demandes de ransomware. En règle générale, ces messages incluent des instructions permettant aux victimes de contacter les cybercriminels pour discuter du paiement de la rançon et obtenir une aide au décryptage.

CursoDFIR Note de rançon composée en portugais

Le texte intégral de la très brève demande de rançon générée par cursoDFIR se lit comme suit :

ESTE RANSOMWARE FOI PARA VOCÊ!

É VOCÊ MESMO QUE TENTOU BAIXAR UM MICROSOFT PIRATA!

PARA DESCRIPTOGRAFAR PRECISA PAGAR

PAGAR 1 MOEDA DIGITAL

Key: EC63E8BE0717BD92C0FFBF7A21749A54

CURSO DE DFIR Mente Binária
Professor: Caique

Comment un ransomware peut-il infecter votre ordinateur ?

Les ransomwares peuvent infecter votre ordinateur par diverses méthodes, notamment :

E-mails de phishing : l’une des méthodes les plus courantes consiste à envoyer des e-mails de phishing. Les cybercriminels envoient des e-mails trompeurs contenant des pièces jointes ou des liens malveillants. Lorsque des utilisateurs peu méfiants ouvrent ces pièces jointes ou cliquent sur les liens, le ransomware est téléchargé et exécuté sur leurs systèmes.

Sites Web malveillants : la visite de sites Web compromis ou malveillants peut également entraîner des infections par ransomware. Ces sites Web peuvent contenir des kits d'exploitation qui téléchargent et installent automatiquement des ransomwares sur les ordinateurs des visiteurs en exploitant les vulnérabilités de leurs navigateurs ou plugins.

Téléchargements drive-by : Semblables aux sites Web malveillants, les ransomwares peuvent être téléchargés sur votre ordinateur à votre insu via des téléchargements drive-by. Ces téléchargements se produisent lorsque vous visitez un site Web légitime qui a été compromis, et les logiciels malveillants sont automatiquement téléchargés et installés sur votre système en arrière-plan.

Logiciels vulnérables : les ransomwares peuvent exploiter les vulnérabilités des logiciels installés sur votre ordinateur, tels que les systèmes d'exploitation, les navigateurs Web ou les plug-ins. Les cybercriminels exploitent ces vulnérabilités pour obtenir un accès non autorisé à votre système et déployer des ransomwares.

Publicités malveillantes (Malvertising) : Les ransomwares peuvent également être distribués via des publicités malveillantes affichées sur des sites Web légitimes. Cliquer sur ces publicités peut conduire au téléchargement et à l’installation automatiques de ransomwares sur votre ordinateur.