Infos

Une nouvelle version de Cryptowall chiffre les noms de fichier et se moque des victimes

Les auteurs du ransomware Cryptowall lui ont ajouté quelques traits qui vont compliquer davantage la vie des analystes de virus et de ceux qui tentent de se débarrasser de l’infection sans payer la rançon.

La semaine dernière, des chercheurs de Bleeping Computer ont
découvert
une nouvelle version de Cryptowall qui chiffre non seulement les fichiers de la victime, mais également leur nom. Nathan Scott, auteur de l’analyse avec d’autres experts de Bleeping Computer explique que cela « réduit considérablement les chances de récupération des fichiers. Il vaut mieux payer la rançon. Lors de la restauration des données lors de l’analyse, les fichiers apparaissent sous des noms étranges et l’utilisateur lui-même ne peut les reconnaître. Il est devenu impossible de comprendre la structure dans les fichiers.

L’expert conclut : « L’unique méthode de récupérer les données est au départ d’une copie de sauvegarde ; en l’absence de copies de sauvegarde, le paiement de la rançon est l’unique option.

Les exploitants du ransomware ont également actualisé le texte de la demande de rançon adressée à la victime. Ils félicitent avec un certain cynisme l’utilisateur pour son intégration à la « grande communauté Cryptowall » en expliquant que ce projet a été lancé pour améliorer les connaissances dans le secteur des technologies de l’information et pour confirmer l’efficacité des solutions antivirus. De plus, les individus malintentionnés ont créé le hashtag #CryptowallProject afin que les victimes puissent partager leurs mésaventures sur les réseaux sociaux ; le nombre élevé de ces plaintes représente, d’après Nathan Scott, un avantage pour les opérateurs du malware, car les victimes seront plus incitées à payer.

En matière de rentabilité, Cryptowall est loin devant ses confrères. D’après un rapport récent de l’association professionnelle Cyber Threat Alliance(CTA), la version Cryptowall 3.0 a déjà coûté 325 millions de dollars aux victimes. Pour l’instant, on ne sait pas si la découverte de Bleeping Computer est une nouvelle version du ransomware (4.0) comme le supposent les chercheurs ou simplement une mise à jour technique.

Le nouveau Cryptowall se propage comme ses prédécesseurs via une pièce jointe présentée comme un document Word (facture ou CV). Ces fichiers contiennent en réalité une JavaScript exécutable qui permet de télécharger le ransomware.

Cette version du ransomware est également capable de supprimer tous les points de restauration. « Parfois, les victimes de l’attaque ont de la chance, soit parce que le malware ne supprime pas les points de restauration, soit parce que l’attaque échoue et il est alors possible de restaurer le système jusqu’à la date précédent l’infection. A partir de cette version 4, ce scénario ne sera plus envisageable. »

En général, les exploitants de Cryptowall envoient presque toujours la clé de déchiffrement après le versement de la rançon, ce qui n’est pas toujours le cas des concurrents. « Ils mènent leur activité comme une entreprise, leur modèle fonctionne » explique Nathan Scott. « Ils ont compris le point suivant : à vouloir tromper tout le monde, personne ne paiera. Ces individus malintentionnés ont adopté la règle de rétablir l’accès au fichier après le paiement. »

Le FBI a également conseillé récemment aux victimes de ransomware de payer la rançon, surtout dans les cas d’infection par Cryptowall. L’estimation des dommages liés à l’activité de ce malware fournie par le FBI est bien plus modeste que celle de la CTA : le FBI parle de 18 millions de dollars.

Source: Threatpost

Une nouvelle version de Cryptowall chiffre les noms de fichier et se moque des victimes

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception