Le ransomware PayloadBIN fait partie de l’un des groupes les plus redoutés au monde, Evil Corp. Ce groupe est responsable de nombreuses attaques aux États-Unis, qui ont généré des pertes se chiffrant en millions de dollars.
Les attaques étaient si récurrentes que l’Office of Foreign Assets Control (OFAC) du département du Trésor américain a imposé des sanctions contre le groupe, en imposant des amendes aux entreprises qui traitent avec les cybercriminels et en rendant le paiement des rançons très difficile.
Pour tenter de contourner ces sanctions, le groupe a créé des dérivés de ses logiciels malveillants : Wasted Locker, Hades, Phoenix et, plus récemment, le ransomware PayloadBIN.
Le groupe Evil Corp a tenté de masquer PayloadBIN pour faire croire qu’il s’agissait d’un dérivé du ransomware BABUK. Ce groupe a mené une attaque contre le Metropolitan Police Department à Washington, DC. Cette attaque a fait du groupe qui contrôlait le ransomware BABUK une cible privilégiée pour les agences gouvernementales, ce qui les a amenées à interrompre toutes leurs activités.
Avec l’émergence du ransomware PayloadBIN qui utilise une structure similaire à celle de BABUK, il semblait que le groupe n’avait pas cessé ses activités, mais cela n’a pas été confirmé, il s’agissait simplement d’une stratégie d’Evil Corp pour piéger les autorités.
PayloadBIN utilise la tactique de la double extorsion : en plus de crypter les données et de paralyser les activités de l’entreprise, il vole également les fichiers et menace de les libérer si l’entreprise ne prend pas contact avec lui et ne paie pas la rançon.
Contrairement à d’autres groupes de ransomware qui n’utilisent qu’un seul site web pour les fuites, PayloadBIN crée un site web pour chaque entreprise, où il fait connaître les faiblesses de l’entreprise et publie des échantillons des données volées.
Un fichier nommé « PAYLOADBIN-README.txt » est laissé sur l’ordinateur et contient des instructions sur la manière dont la victime peut contacter le groupe et payer la rançon.
Récupérer les fichiers cryptés par PayloadBIN Ransomware
La récupération des données cryptées par un ransomware est devenue l’une de nos plus grandes spécialités, nous avons développé des technologies uniques à cette fin. Nous pouvons récupérer pratiquement n’importe quel appareil qui a été affecté par l’attaque du ransomware, qu’il s’agisse de disques durs, de disques SSD, de bases de données, de machines virtuelles, de systèmes de stockage, de systèmes RAID et autres.
Nos experts disposent des meilleures technologies logicielles et matérielles pour rendre le processus de récupération aussi rapide et sûr que possible.
Toutes nos démarches sont soutenues par la loi générale sur la protection des données (LGPD) et l’accord de confidentialité (NDA).
Nous savons à quel point il est problématique de voir le fonctionnement de l’entreprise paralysé à cause de fichiers cryptés, c’est pourquoi nous avons créé la récupération en mode d’urgence. Dans ce mode, nos laboratoires fonctionnent 24×7 et nous disposons toujours de la technologie nécessaire pour effectuer la récupération à distance.
Contactez-nous et commencez le diagnostic dès maintenant, nos experts sont à votre disposition.
