La campagne WickrMe Ransomware s'attaque aux serveurs Microsoft SharePoint obsolètes
Le WickrMe Ransomware (également appelé Hello Ransomware) est un cheval de Troie de cryptage de fichiers dangereux, qui est jusqu'à présent utilisé contre un ensemble très spécifique de cibles. Il est important d'ajouter que cela n'a rien à voir avec les services de messagerie WickrMe. Les créateurs de ce malware ne le diffusent pas à des utilisateurs aléatoires sur Internet et, à la place, exécutent des attaques soigneusement orchestrées contre des serveurs Microsoft SharePoint vulnérables. Bien sûr, les administrateurs système qui maintiennent leurs logiciels à jour ne sont pas menacés par cette attaque puisque la campagne WickrMe Ransomware repose sur une vulnérabilité, qui remonte à 2019. Malheureusement, de nombreux systèmes sont encore vulnérables en raison de l'exécution de logiciels obsolètes, et ils sont la cible exacte du WickrMe Ransomware.
Outre le vecteur d'infection relativement spécial, le WickrMe Ransomware se comporte comme les autres chevaux de Troie de cryptage de fichiers. Son attaque comporte plusieurs étapes, qui ne sortent pas de l'ordinaire:
- Désactive les processus utilisés par le logiciel de gestion de base de données et d'autres utilitaires qui peuvent empêcher le logiciel malveillant d'accéder aux fichiers qu'il souhaite crypter.
- Analyse les partitions de disque pour les types de fichiers qu'il est censé chiffrer, puis verrouille leur contenu.
- Ajoute le suffixe «.hello» aux noms des fichiers qu'il verrouille.
- Supprime la note de rançon «Lisez-moi !!!. Txt», qui inclut des e-mails personnalisés pour cette victime spécifique.
Bien sûr, les criminels exigent un paiement de rançon via Bitcoin. Outre les e-mails, les criminels fournissent également des noms d'utilisateur WickrMe, qui peuvent être utilisés pour entrer en contact avec eux - c'est la première fois que ce service est utilisé par des opérateurs de ransomware.
Malheureusement, le cryptage du WickrMe Ransomware est incassable et un logiciel de décryptage gratuit est hors de question. Les victimes de cette attaque ne doivent cependant pas accepter de coopérer avec les attaquants car le risque de se faire arnaquer est trop élevé. Au lieu de contacter les cybercriminels, les victimes du WickrMe Ransomware devraient utiliser un logiciel antivirus pour éliminer la menace, puis essayer de restaurer des fichiers via une sauvegarde ou via un logiciel de récupération populaire.