21 novembre

Rançongiciel Crypted

Nemucod est un trojan qui télécharge des logiciels malveillants additionnels sur les ordinateurs des victimes. Les cybers criminels prolifèrent ce logiciel via des emails contenant des fichiers zippés joints. Ces emails clament souvent qu’ils sont des factures légitimes, des avis de comparution au tribunal, ou d’autres documents officiels. Les utilisateurs d’ordinateur tombent habituellement pour ces arnaques et ouvrent les documents joints qui contiennent un fichier JavaScript. Le fichier télécharge alors le trojan Nemucod sur leurs systèmes. Précédemment, le trojan Nemucod télécharge et installent les rançongiciels TeslaCrypt et Locky sur les ordinateurs des victimes, cependant, il a récemment lancé une nouvelle campagne où il télécharge un rançongiciel pour encrypter les données des victimes (ajoutant l’extension .crypted aux fichiers compromis en créant le fichier DECRYPT.txt sur les ordinateurs des victimes.

Le fichier DECRYPT.txt contient un message énonçant que les fichiers stockés sur l’ordinateur de la victime ont été encryptés. Les fichiers sont encryptés en utilisant l’algorithme de cryptage RSA-1024 – cela signifie qu’ils peuvent seulement être décryptés en utilisant une clef privée, qui est générée durant le cryptage. Cette clef est supposément stockée sur des serveurs à distance contrôlés par des cybers criminels. Le message énonce que pour restaurer les fichiers, les utilisateurs doivent payer une rançon de 0.60358 Bitcoin (au moment de la recherche, équivalent à 252.53$). Le fichier fournit aussi des instructions de paiement étape-par-étape, cependant, la recherche montre que l’énoncé concernant l’algorithme de cryptage est faux. En fait, ce rançongiciel utilise l’algorithme XOR, donc, le cryptage (incorporé dans l’exécutable susmentionné, qui est téléchargé par le trojan Nemucod) et les clefs de décryptage sont identiques. Donc, il est possible d’utiliser cette clef pour décrypter les fichiers sans paiement. De plus, le rançongiciel n’efface les clichées instantanés des volumes. Donc, ces copies et la ‘’Restauration du système’’ peuvent être utilisés pour restaurer les fichiers affectés par ce rançongiciel.

Capture d’écran d’un message encourageant les utilisateurs à contacter les développeurs du rançongiciel Crypted pour décrypter leurs données compromises :

 

crypted-homepage

Tous les rançongiciels de types logiciels malveillants sont très similaires – ils infiltrent les systèmes via des pièces-jointes malicieuses, des fichiers infectés via des réseaux P2P (pair à pair) (par exemple, Torrents), de fausses mises à jour de logiciels, et/ou des trojans). La seule différence est la grosseur du montant de la rançon à payer et le type d’algorithme utilisé pour encrypter les fichiers. Soyez attentifs quand vous téléchargez des pièces-jointes envoyées à partir d’adresses emails suspectes/non reconnues. De plus, télécharger vos fichiers désirés à partir de source reconnue. Gardez les logiciels installés à jour et utiliser une suite anti logiciel espion/antivirus légitime aidera aussi à protéger votre système. Il n’y a aucune garantie que vos fichiers ne seront jamais décryptés même après avoir payée la rançon et, donc, vous ne devriez jamais tenter de payer ou de contacter les cybers criminels. La solution idéale aux infections du rançongiciel crypto est de restaurer vos fichiers à partir d’une sauvegarde.

Message présenté dans le fichier texte DECRYPT.txt :

ATTENTION!

Tous vos documents, photos, banques de données et autres fichiers important ont été encryptés en utilisant l’algorithme RSA-1024 avec une clef unique. Pour restaurer vos fichiers vous devez payer 0.60358 BTC (bitcoins).

1. Créer un portefeuille Bitcoin ici :
https://blockchain.info/wallet/new
2. Acheter 0.60358 BTC avec de l’argent en utilisant la recherche ici :
https://localbitcoins.com/buy_bitcoins
3. Envoyer 0.60358 BTC à cette adresse Bitcoin :

4. Ouvrez un des liens suivants dans votre navigateur pour télécharger le décrypteur:

5. Exécuter le décrypteur pour restaurer vos fichiers.
S.V.P. RAPPELEZ-VOUS :
– Si vous ne payez pas en dedans de 3 jours VOUS PERDEZ TOUS VOS FICHIERS.
– Personne ne peut vous aidez exceptez nous.
– C’est inutile de réinstaller Windows, de mettre à jour votre logiciel antivirus, etc.
– Vos fichiers peuvent être décryptés seulement après que vous faites le paiement.
– Vous pouvez trouver ce manuel sur votre bureau (DECRYPT.txt).

Exemple de pourriel malicieux propageant le trojan Nemucod (qui télécharge ensuite le rançongiciel crypto sur les ordinateurs des victimes) :

crypted-mail

 

 

 

 

Source : https://www.pcrisk.fr/

ABOUT AUTHOR

Beji Med