TeslaCrypt lance un assaut via spam

Des chercheurs d’Heimdal Security ont détecté une campagne de spam massive destinée à propager une nouvelle version du ransomware TeslaCrypt. Comme l’indique Softpedia, les premiers signes de l’activation de TeslaCrypt ou Trojan-Ransom.Win32.Bitman dans la classification de Kaspersky Lab) ont fait leur apparition sur les forums de Bleeping Computer où plusieurs utilisateurs ont commencé à se plaindre de l’infection.

L’analyse du code réalisée par les experts a mis en évidence de subtiles modifications dans le code par rapport aux versions connues. Les développeurs d’outils de déchiffrement vont devoir se remettre au travail.

La campagne de spam en anglais, observée depuis plusieurs jours par Heimdal, repose sur un sujet fréquemment utilisé, à savoir une facture impayée. Les chercheurs en ont déduit que les destinataires de ces messages étaient probablement des entreprises.

L’archive zip malveillante jointe au message contient un fichier au format .js. L’analyse a démontré que lors de l’exécution, ce JavaScript ouvre une connexion avec le serveur de commande et télécharge le module principal du ransomware. Une fois exécutée, la nouvelle version de TeslaCrypt, à l’instar de ses prédécesseurs, chiffre les fichiers de la victime et les renomme en ajoutant une extension supplémentaire (.vvv ou .zzz). Le malware élimine également les copies et il crée, dans chaque dossier contenant des fichiers chiffrés, un fichier qui reprend les instructions de déchiffrement. Pour payer la rançon (en bitcoins), l’utilisateur est envoyé vers une page hébergée sur le réseau Tor.

A l’heure actuelle, la nouvelle version de TeslaCrypt est détectée par deux tiers des logiciels antivirus de la liste VirusTotal. La majorité des infections liées à cette nouvelle campagne a été enregistrée selon Heimdal dans les pays scandinaves.

Il faut signaler que jusqu’à présent TeslaCrypt se propageait principalement via un kit d’exploitation, et plus précisémment ces derniers temps via Neutrino. TeslaCrypt est pour l’instant moins rentable que d’autres ransomwares plus agressifs. Ainsi, d’après les données de FireEye, de février à avril 2015, les opérateurs de TeslaCrypt ont reçu un peu plus de 76 500 doillars de la part de 163 victimes d’infection, ce qui n’est rien comparé aux millions que rapport chaque année CryptoLocker, sans parler de Cryptowall.

Source: Softpedia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *