Une nouvelle version de Cryptowall chiffre les noms de fichier et se moque des victimes

Les auteurs du ransomware Cryptowall lui ont ajouté quelques traits qui vont compliquer davantage la vie des analystes de virus et de ceux qui tentent de se débarrasser de l’infection sans payer la rançon.

La semaine dernière, des chercheurs de Bleeping Computer ont
découvert
une nouvelle version de Cryptowall qui chiffre non seulement les fichiers de la victime, mais également leur nom. Nathan Scott, auteur de l’analyse avec d’autres experts de Bleeping Computer explique que cela « réduit considérablement les chances de récupération des fichiers. Il vaut mieux payer la rançon. Lors de la restauration des données lors de l’analyse, les fichiers apparaissent sous des noms étranges et l’utilisateur lui-même ne peut les reconnaître. Il est devenu impossible de comprendre la structure dans les fichiers.

L’expert conclut : « L’unique méthode de récupérer les données est au départ d’une copie de sauvegarde ; en l’absence de copies de sauvegarde, le paiement de la rançon est l’unique option.

Les exploitants du ransomware ont également actualisé le texte de la demande de rançon adressée à la victime. Ils félicitent avec un certain cynisme l’utilisateur pour son intégration à la « grande communauté Cryptowall » en expliquant que ce projet a été lancé pour améliorer les connaissances dans le secteur des technologies de l’information et pour confirmer l’efficacité des solutions antivirus. De plus, les individus malintentionnés ont créé le hashtag #CryptowallProject afin que les victimes puissent partager leurs mésaventures sur les réseaux sociaux ; le nombre élevé de ces plaintes représente, d’après Nathan Scott, un avantage pour les opérateurs du malware, car les victimes seront plus incitées à payer.

En matière de rentabilité, Cryptowall est loin devant ses confrères. D’après un rapport récent de l’association professionnelle Cyber Threat Alliance(CTA), la version Cryptowall 3.0 a déjà coûté 325 millions de dollars aux victimes. Pour l’instant, on ne sait pas si la découverte de Bleeping Computer est une nouvelle version du ransomware (4.0) comme le supposent les chercheurs ou simplement une mise à jour technique.

Le nouveau Cryptowall se propage comme ses prédécesseurs via une pièce jointe présentée comme un document Word (facture ou CV). Ces fichiers contiennent en réalité une JavaScript exécutable qui permet de télécharger le ransomware.

Cette version du ransomware est également capable de supprimer tous les points de restauration. « Parfois, les victimes de l’attaque ont de la chance, soit parce que le malware ne supprime pas les points de restauration, soit parce que l’attaque échoue et il est alors possible de restaurer le système jusqu’à la date précédent l’infection. A partir de cette version 4, ce scénario ne sera plus envisageable. »

En général, les exploitants de Cryptowall envoient presque toujours la clé de déchiffrement après le versement de la rançon, ce qui n’est pas toujours le cas des concurrents. « Ils mènent leur activité comme une entreprise, leur modèle fonctionne » explique Nathan Scott. « Ils ont compris le point suivant : à vouloir tromper tout le monde, personne ne paiera. Ces individus malintentionnés ont adopté la règle de rétablir l’accès au fichier après le paiement. »

Le FBI a également conseillé récemment aux victimes de ransomware de payer la rançon, surtout dans les cas d’infection par Cryptowall. L’estimation des dommages liés à l’activité de ce malware fournie par le FBI est bien plus modeste que celle de la CTA : le FBI parle de 18 millions de dollars.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *