MSRT éliminera Crowti

Le lancement de la version de juillet de MSRT (Malicious Software Removal Tool), l’utilitaire gratuit de Microsoft de suppression des malwares les plus répandus, non seulement élimine une vulnérabilité désagréable en son sein, mais enrichit également sa base de deux noms : Win32/Crowti et Win32/Reveton.

Crowti, ou Cryptowall, est à l’heure actuelle un des ransomwares les plus puissants et les plus efficaces. Comme tous les malwares de cette catégorie, il chiffre les fichiers de la victime, puis exige le paiement d’un rançon. Reveton, un autre ransomware plus primitif mais néanmoins présent, mise sur l’ingénierie sociale et bloque uniquement l’accès au système. Il affiche en mode plein écran un avis sur la consultation de contenu interdit (en général, du contenu pornographique), envoyé par les autorités judiciaires, et signale qu’il suffit de payer une « amende » pour débloquer le système. Ce type de ransomwares, qui a reçu le surnom de « virus policier », était très populaires il y 18 mois, mais il a été peu à peu détrôné par les ransomwares qui chiffrent le contenu, même si la pratique démontre qu’ils sont toujours bien présents.

Crowti, par contre, progresse. Il est amélioré en permanence, comme bon nombre d’autres malwares de ce genre. A l’heure actuelle, les individus malintentionnés diffusent activement sa version la plus récente (Cryptowall 3.0) et utilisent pour ce faire les méthodes les plus diverses : via le courrier indésirable, via des kits d’exploitation ou avec d’autres malwares (par exemple, avec Fareit).

Au cours de la période mai-juin, Microsoft a identifié des campagnes de spam avec des pièces jointes Crowti qui imitaient, en général, des lettres de demandeurs d’emploi. La pièce jointe malveillante, un prétendu CV, était envoyée au format .zip et contenait un fichier exécutable dissimulé sous les traits d’un document PDF.

D’après les statistiques fournies sur le blog de la société, la population moyenne de Crowti au cours des deux derniers mois est passée de 4 000 à 6 500 machines infectées. A titre de comparaison, à l’automne dernier, la valeur maximale avait été de 4 000, avec une moyenne inférieure à 1 500. Le pic de ces infections avait été observé au début du mois de juin. Les solutions de protection de Microsoft avaient alors détecté près de 11 000 infections uniques:

Dynamique des infections de Crowti, mai-juin 2015 (source: Microsoft)

La part des Etats-Unis, leader du classement des infections, a sensiblement diminué et est passée de 71 à 44 %. D’après le nouveau classement, Crowti a décidé d’abandonner l’océan Pacifique et s’est lancé à l’assaut du Brésil (12 %). Il maintient également les attaques contre les Canadiens (8 %, contre 6 % l’année dernière) et les Européens (Grande-Bretagne, 12 % contre 2).

Selon Microsoft, la version mise à jour de MSRT éliminera les fichiers exécutables du ransomware ainsi que les clés de registre qu’il crée. L’outil sera également capable de rétablir les paramètres du système par défaut. Les experts recommandent une nouvelle fois aux utilisateurs de ne pas céder aux exigences des escrocs car le versement de la rançon ne garantit pas toujours la récupération des fichiers importants. Microsoft a également indiqué que les utilisateurs de Windows 8.1 et RT 8.1 ont la possible de récupérer les fichiers perdu grâce à la sauvegarde via File History.

Source: TechNet

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *