Les escrocs apprennent de nouvelles astuces

De nouvelles versions de programmes de blocage analysent le journal du navigateur sur l’ordinateur infecté et montrent du contenu pornographique impliquant des mineurs afin de rendre les fausses accusations plus convaincantes et forcer la victime à payer une rançon.

Il s’agit ici de programmes d’escroquerie qui bloquent l’accès au système et qui affichent une notification sur le blocage. Les individus malintentionnés accusent la victime, au nom des autorités judiciaires et policières, d’avoir consulté ou téléchargé du contenu illégal et exigent le paiement d’une « amende » pour débloquer l’ordinateur. Certains de ces programmes malveillants peuvent utiliser la webcam de l’ordinateur infecté afin d’inclure une photo de la victime dans le message d’accusation afin de le rendre plus authentique. L’adresse IP et le nom du fournisseur d’accès Internet peuvent également être mentionnés pour valider le message ; les programmes de blocage modernes utilisent également le contexte géographique afin d’afficher le message dans la langue de la victime et d’utiliser les noms corrects pour les autorités judiciaires et policières.

L’enquêteur indépendant Kafeine a détecté une version du programme de blocage qui permet de consulter l’historique de la navigation sur Internet et d’insérer les noms adéquats dans le texte accusateur en guise de source du contenu illégal. La « source » peut être un site pornographique dont le contenu n’est pas nécessairement illégal. Ce qui est important, c’est que la victime y a accéder. Le programme malveillant, baptisé Kovter, compare les données du journal des visites à une liste enregistrée sur le serveur distant et, si aucune équivalence n’est détectée, le programme insère dans le message un nom de site pornographique aléatoire.

Une autre version du programme de blocage, détectée par Sophos, ajoute au texte accusateur des photos choquantes de violence contre des enfants que l’utilisateur aurait consultées sur son ordinateur. Pour rendre les messages encore plus authentiques, la notification reprend le nom, la date de naissance et le pays des victimes de ces violences. Il est intéressant de constater que ce programme malveillant est activé non pas au démarrage du système, mais uniquement après la connexion de la victime à Internet. Tous les cas d’infections liés à cette version ont été détectés en Allemagne, mais l’analyse du code malveillant démontre qu’en cas d’exécution depuis une adresse IP britannique, le nouveau programme de blocage change de modèle : le texte accusateur est affiché en anglais et le nom de la police londonienne remplace Bundeskriminalamt (service judiciaire fédéral d’Allemagne).

D’après les statistiques de Kaspersky Lab, au cours des premiers mois de cette année, le nombre de programmes de blocage a doublé. Ce chiffre a été repris par la presse internationale avec les commentaires de Serguei Golovanov, expert chez Kaspersky Lab, qui soulignait qu’il ne fallait en aucun cas céder au chantage des escrocs. Il existe sur Internet une multitude d’utilitaires gratuits et d’instructions pour débloquer les ordinateurs infectés par un programme d’escroquerie ou l’autre. Si l’infection est provoquée par un programme malveillant plus résistant, il est possible de trouver la solution dans des forums des éditeurs de logiciels antivirus ou auprès du Support Technique. Il vaut mieux passer du temps à chercher la solution au problème plutôt que de céder au chantage sans avoir aucune garantie que le problème sera résolu.

Sources :

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *