Cryptolocker a un émule

IntelCrawler, une société californienne spécialisée dans les questions de sécurité met en garde contre l’expansion d’un nouveau programme de chantage sous Windows qui chiffre les fichiers et exige le paiement de 150 dollars pour les déchiffrer. D’après les experts, ce nouveau programme ne possède pas de centre de commande et il utilise une méthode de chiffrement plus faible que celle de son concurrent Cryptolocker.

Une fois activé, ce programme de chantage baptisé Locker, vérifie s’il existe une connexion Internet en tentant de contacter le site adobe.com, puis il copie et chiffre les fichiers en ajoutant l’extension .perfect et supprime les originaux. Le fichier contact.txt est ajouté à chaque dossier qui a été modifié. Ce fichier contient un code personnel et les coordonnées pour le paiement. Il s’agit en général d’un numéro de téléphone prépayé ou d’une adresse de messagerie électronique. L’utilisateur est également prévenu que la moindre action agressive de sa part se traduira par la destruction de la clé de chiffrement et par conséquent, par l’impossibilité de décoder les fichiers.

Les individus malintentionnés ne sont pas intéressés par les bitcoins. Le paiement doit être réalisé via le service de paiement en ligne Perfect Money ou à l’aide d’une carte QIWI Visa Virtual en indiquant le PIN et le nom du système hôte. Andrey Komarov, directeur général d’IntelCrawler, explique : "Il semblerait que les pirates se contentent de comparer la liste des adresses IP de leurs victimes avec les noms d’hôte."

D’après Andrey Komarov, Locker ne possède pas d’infrastructures de commande. Il est géré à l’aide de composants de déchiffrement spécialisés. Comme l’explique l’expert : "la liste des adresses IP est codée en dur dans chaque décodeur et par conséquent chaque programme malveillant résident fonctionne sans aucun centre de commande, ce qui permet à ses gérants de rester dans l’ombre et de masquer toutes les traces à l’exception des détails de leurs opérations commerciales."

Locker chiffre les fichiers à l’aide d’une bibliothèque de chiffrement libre TurboPower LockBox, qui chiffre le contenu selon un algorithme AES en mode CTR. Les chercheurs de chez IntelCrawler sont convaincus qu’ils pourront proposer prochainement une solution à ce programme de chantage. Le directeur de la société a déclaré à la revue The Register : "Nous avons trouvé une méthode de déchiffrementet des lignes universelles [clés] qui fonctionnent chez n’importe quel client infecté."

Au début du mois de décembre, IntelCrawler a enregistré une hausse sensible du nombre d’infections par Locker. A l’heure actuelle, les experts comptent 50 versions différentes de ce programme dont la promotion est assurée sur les forums clandestins dans le cadre de programmes de paiement par installation. D’après Andrey Komarov, une de ces versions aurait infecté près de 6 000 ordinateurs. Les pays comptant le plus d’ordinateurs infectés par ce programme sont la Russie, les Etats-Unis et les Pays-Bas. Les pays les moins touchés sont la Turquie et l’Allemagne. Il est intéressant de voir que le programme malveillant tente d’éviter les ordinateurs équipés d’outils d’analyse antivirus.

Locker se propage principalement via des attaques par téléchargement à la dérobée. Il peut également être parfois téléchargé au lieu d’un enregistrement audio populaire. Ainsi, une des versions de Locker se propageait sur la forme d’un fichier MP3 contenant des chansons de Tyna Turner. Afin d’éviter tout problème, IntelCrawler déconseille aux victimes de l’infection de renommer les fichiers chiffrés ou de modifier le nom du système hôte sur leur ordinateur.

http://www.zdnet.com/new-crypto-ransomware-hits-us-russia-and-europe-7000024282/

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *