Infos

Cryptolocker a un émule

IntelCrawler, une société californienne spécialisée dans les questions de sécurité met en garde contre l’expansion d’un nouveau programme de chantage sous Windows qui chiffre les fichiers et exige le paiement de 150 dollars pour les déchiffrer. D’après les experts, ce nouveau programme ne possède pas de centre de commande et il utilise une méthode de chiffrement plus faible que celle de son concurrent Cryptolocker.

Une fois activé, ce programme de chantage baptisé Locker, vérifie s’il existe une connexion Internet en tentant de contacter le site adobe.com, puis il copie et chiffre les fichiers en ajoutant l’extension .perfect et supprime les originaux. Le fichier contact.txt est ajouté à chaque dossier qui a été modifié. Ce fichier contient un code personnel et les coordonnées pour le paiement. Il s’agit en général d’un numéro de téléphone prépayé ou d’une adresse de messagerie électronique. L’utilisateur est également prévenu que la moindre action agressive de sa part se traduira par la destruction de la clé de chiffrement et par conséquent, par l’impossibilité de décoder les fichiers.

Les individus malintentionnés ne sont pas intéressés par les bitcoins. Le paiement doit être réalisé via le service de paiement en ligne Perfect Money ou à l’aide d’une carte QIWI Visa Virtual en indiquant le PIN et le nom du système hôte. Andrey Komarov, directeur général d’IntelCrawler, explique : "Il semblerait que les pirates se contentent de comparer la liste des adresses IP de leurs victimes avec les noms d’hôte."

D’après Andrey Komarov, Locker ne possède pas d’infrastructures de commande. Il est géré à l’aide de composants de déchiffrement spécialisés. Comme l’explique l’expert : "la liste des adresses IP est codée en dur dans chaque décodeur et par conséquent chaque programme malveillant résident fonctionne sans aucun centre de commande, ce qui permet à ses gérants de rester dans l’ombre et de masquer toutes les traces à l’exception des détails de leurs opérations commerciales."

Locker chiffre les fichiers à l’aide d’une bibliothèque de chiffrement libre TurboPower LockBox, qui chiffre le contenu selon un algorithme AES en mode CTR. Les chercheurs de chez IntelCrawler sont convaincus qu’ils pourront proposer prochainement une solution à ce programme de chantage. Le directeur de la société a déclaré à la revue The Register : "Nous avons trouvé une méthode de déchiffrementet des lignes universelles [clés] qui fonctionnent chez n’importe quel client infecté."

Au début du mois de décembre, IntelCrawler a enregistré une hausse sensible du nombre d’infections par Locker. A l’heure actuelle, les experts comptent 50 versions différentes de ce programme dont la promotion est assurée sur les forums clandestins dans le cadre de programmes de paiement par installation. D’après Andrey Komarov, une de ces versions aurait infecté près de 6 000 ordinateurs. Les pays comptant le plus d’ordinateurs infectés par ce programme sont la Russie, les Etats-Unis et les Pays-Bas. Les pays les moins touchés sont la Turquie et l’Allemagne. Il est intéressant de voir que le programme malveillant tente d’éviter les ordinateurs équipés d’outils d’analyse antivirus.

Locker se propage principalement via des attaques par téléchargement à la dérobée. Il peut également être parfois téléchargé au lieu d’un enregistrement audio populaire. Ainsi, une des versions de Locker se propageait sur la forme d’un fichier MP3 contenant des chansons de Tyna Turner. Afin d’éviter tout problème, IntelCrawler déconseille aux victimes de l’infection de renommer les fichiers chiffrés ou de modifier le nom du système hôte sur leur ordinateur.

http://www.zdnet.com/new-crypto-ransomware-hits-us-russia-and-europe-7000024282/

Cryptolocker a un émule

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception