Echange clé contre coopération à l’infection

Des chercheurs ont détecté un malware de chiffrement en développement qui, d’une façon assez cynique, propose à la victime de déchiffrer gratuitement ses fichiers si celle-ci accepte d’infecter deux amis et si ces derniers acceptent de payer la rançon.

« Je n’avais jamais vue une chose pareille parmi les ransomwares » a déclaré Lawrence Abrams, du site de sécurité de l’information BleepingComputer.com, en annonçant cette découverte. « C’est le premier cas que je rencontre dans toute ma carrière ».

Lawrence Abrams a découvert l’existence de ce nouveau ransomware baptisé Popcorn Time (à ne pas confondre avec l’application de lecture de contenu vidéo du même nom) via un tweet d’un chercheur de chez MalwareHunterTeam qui avait détecté le malware en décembre. L’analyse du code a confirmé que ce malware offre un choix à la victime : payer la rançon ou envoyer le lien vers le fichier malveillant à deux utilisateurs et attendre une issue positive. Il est encore trop tôt pour dire si Popcorn Time a été diffusé et pour se prononcer sur l’ampleur d’une telle diffusion. Dans ses commentaires sur les résultats de l’analyse, Lawrence Abrams a indiqué que le code n’est pas complet, que certains serveurs de commande sont inopérationnels et que certains composants importants manquent.

D’après les informations du chercheur, la liste des types de fichiers qui peuvent être chiffrés par Popcorn Time compte plus de 500 entrées. Le nouveau malware repose sur une clé AES de 256 bits et il ajoute l’extension .filock au fichier chiffré. A un croire une capture d’écran fournie par BleepingComputer.com, la victime doit payer la rançon (selon une « méthode rapide et pratique » comme le précisent les cybercriminels) ou trouver de nouvelles victimes (« tomber bas ») dans la semaine qui suit l’infection.

« Nous sommes au regret de vous annoncer que votre ordinateur et vos fichiers ont été chiffrés, mais ne perdez pas espoir. Il existe un moyen qui vous permettra de rétablir l’accès à l’ordinateur et aux fichiers…Envoyez le lien repris ci-dessous à d’autres personnes. Si deux utilisateurs ou plus installent ce fichier et paient la rançon, nous déchiffrerons vos fichiers gratuitement ».

Les auteurs de ce malwares se sont baptisés « Groupe d’étudiants en informatique de Syrie » et affirment que les revenus tirés de l’activité du ransomware seront destinés à l’achat d’aliments et de médicaments ainsi qu’au logement des Syriens qui ont été victimes du conflit. « Nous regrettons vraiment de devoir vous forcer à payer » écrivent ces « bienfaiteurs ».

La rançon à payer pour pouvoir récupérer l’accès aux fichiers s’élève à 1 Bitcoin (environ 800 dollars américains) et la victime peut utiliser la clé une nombre limité de fois. « Le ransomware contient un code qui n’est pas terminé mais qui indique qu’après quatre tentatives de saisie de la clé, le chiffreur commence à supprimer les fichiers » écrit Lawrence Abrams sur le site de Bleeping Computer.

Il est encore trop tôt pour juger de l’efficacité de ce mode de diffusion et de monétisation des ransomwares. Lawrence Abrams doute que beaucoup d’utilisateurs accepteront de violer la loi et d’infecter d’autres utilisateurs. Ceci étant dit, il y aura toujours des individus peu scrupuleux qui ne verront rien de mal dans cette approche et qui accepteront de coopérer.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *