Vidéo: [WannaCry] Créer un vrai Ransomware en 2020 #1 Les fonctionnalités (Novembre 2024)
Les chercheurs ont découvert une nouvelle variante du ransomware CryptoLocker qui pourrait potentiellement infecter plus d'utilisateurs que la version d'origine.
Les criminels à l'origine de CryptoLocker semblent avoir modifié le ransomware d'un cheval de Troie en un ver répandant sur l'USB, ont récemment écrit des chercheurs de Trend Micro sur son blog Security Intelligence. En tant que cheval de Troie, CryptoLocker ne pouvait pas se propager par lui-même pour infecter les ordinateurs des utilisateurs. Il s’appuyait sur les utilisateurs pour ouvrir une pièce jointe à un courrier électronique ou pour cliquer sur un lien contenu dans un courrier électronique, pour s’exécuter et s’installer sur l’ordinateur. En tant que ver, CryptoLocker peut toutefois se répliquer et se propager via des lecteurs amovibles.
Au cas où vous auriez besoin d'un rappel, CryptoLocker est un ransomware. Il s’agit d’un type de logiciel malveillant qui verrouille des fichiers sur votre ordinateur et exige une rançon afin de les déverrouiller. Les fichiers sont cryptés, donc la suppression du logiciel malveillant ne les libère pas. Le seul moyen de récupérer les fichiers est de payer aux criminels le montant qu'ils choisissent (les attaques récentes ont entraîné des demandes de BitCoins) ou simplement d'effacer l'ordinateur et de le restaurer à partir d'une sauvegarde.
La nouvelle version du logiciel malveillant se veut un activateur de logiciels tels que Adobe Photoshop et Microsoft Office sur des sites de partage de fichiers poste à poste (P2P), a déclaré Trend Micro. Selon le blog, l'envoi du logiciel malveillant sur des sites P2P permet aux personnes malveillantes d'infecter facilement les systèmes sans s'embarrasser de messages de spam.
"Les malfaiteurs à l'origine de cette nouvelle variante n'ont pas à lancer une campagne de spam pour diffuser leurs programmes malveillants", a déclaré Graham Cluley, chercheur en sécurité.
Comment un ver infecte
Imaginez un scénario simple. Vous empruntez une clé USB pour déplacer un fichier d'un ordinateur à un autre ou pour en donner une copie à quelqu'un. Si ce lecteur était infecté par le ver CryptoLocker, tous les ordinateurs auxquels le lecteur connecté serait infecté. Et si cet ordinateur est connecté à un réseau, le travail de Cryptolocker peut rechercher d'autres lecteurs connectés.
"CryptoLocker pourrait faciliter l'infection des ordinateurs de votre entreprise", a déclaré Cluley.
Il y a cependant un bon signe à propos de cette nouvelle variante. Le programme malveillant d'origine CryptoLocker a utilisé l'algorithme de génération de domaine (DGA) pour générer périodiquement un grand nombre de noms de domaine afin de se connecter au serveur de commande et contrôle (C & C). D’autre part, la nouvelle version de CryptoLocker n’utilise pas DGA car les URL des serveurs de commande et de contrôle sont codées en dur dans le ransomware, a déclaré Trend Micro. Cela facilite la détection et le blocage des URL malveillantes associées.
Toutefois, cela pourrait simplement signifier que le logiciel malveillant est encore en train d'être peaufiné et amélioré, et que les versions ultérieures du ver pourraient avoir la capacité DGA, a averti Trend Micro. Une fois la DGA incluse, il serait plus difficile de détecter et de bloquer le logiciel ransomware.
Que fais-je?
Trend Micro et Cluley ont formulé quelques recommandations sur ce qu'il faut faire:
Les utilisateurs doivent éviter d'utiliser des sites P2P pour obtenir des copies du logiciel et s'en tenir aux sites officiels ou réputés.
Les utilisateurs doivent également faire extrêmement attention à la connexion de clés USB à leurs ordinateurs. Si vous en trouvez un, ne le branchez pas pour voir ce qu'il peut contenir.
"Assurez-vous de suivre des pratiques informatiques sûres et de faire attention à ce que vous utilisez sur vos ordinateurs, et n'oubliez pas de maintenir votre anti-virus à jour et votre intelligence de vous", a déclaré Cluley.
