Le ransomware Ransomwared demande des images nues au lieu de Bitcoins

Une famille de ransomwares appelée Ransomwared a récemment fait la une des journaux, et il y a au moins deux très bonnes raisons à cela. D'une part, il s'adresse aux utilisateurs individuels plutôt qu'aux grandes organisations, ce qui est quelque peu inhabituel de nos jours. Mais ce qui est peut-être plus notable, ce sont les exigences des escrocs. Il semble que ce ne soit plus que des bitcoins.

Pas beaucoup de détails sur la récente campagne Ransomwared

Bien que beaucoup de gens semblent parler des échantillons Ransomwared récemment découverts, les détails réels concernant la distribution et le fonctionnement de la menace sont minces sur le terrain. Les experts qui l'ont examiné n'ont rien dit sur la façon dont ils sont tombés dessus. Il n'y a aucune information sur les méthodes de distribution et l'ingénierie sociale utilisées pour inciter les victimes à installer le ransomware, et nous ne pouvons que deviner combien de personnes ont été touchées.

Ce que nous savons avec certitude, c'est que les escrocs n'ont jamais voulu gagner de l'argent avec la campagne actuelle.

Les escrocs chiffrent les fichiers des utilisateurs et demandent des images explicites en échange du décrypteur

Une fois déployé, Ransomwared crypte les fichiers qu'il trouve sur l'ordinateur infecté et, dans les versions les plus récentes, ajoute l'extension de fichier.iwanttits. Le manque d'analyse technique signifie que nous ne pouvons pas être sûrs des fichiers que Ransomwared cible, mais les captures d'écran que les chercheurs en sécurité ont partagées suggèrent qu'il ne chiffre que les données qu'il trouve dans les dossiers suivants:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

Contrairement à la plupart des familles de logiciels malveillants de ce type, Ransomwared ne laisse aucune note de rançon. Au lieu de cela, une fois qu'il est prêt avec le cryptage, il affiche une fenêtre contextuelle avec le message suivant:

"Les fichiers sont cryptés. Montrez-moi vos seins pour le décrypter."

Cliquer sur le bouton OK ouvre une autre fenêtre, qui montre que les fichiers des quatre répertoires susmentionnés sont cryptés. Il y a un champ pour la clé de récupération et un deuxième message:

"Vous êtes ransomwared! Pour récupérer vos fichiers, envoyez-nous vos seins à: sashagrey@blurred.credit"

Les chercheurs d'Emsisoft ont examiné de plus près les nouveaux échantillons et ont souligné à juste titre que les escrocs avaient oublié de mentionner le type de seins qu'ils recherchaient. Les experts ont suggéré qu'au lieu de prendre des photos d'eux-mêmes nues et de les envoyer par courrier électronique à une adresse nommée d'après une ancienne star du porno, les victimes pourraient essayer d'envoyer des photos de petits oiseaux chanteurs et voir si cela satisferait les désirs des criminels. Même cela ne sera pas nécessaire, car les fichiers cryptés avec Ransomwared peuvent être facilement décryptés.

La restauration des données n'a pas besoin d'impliquer des photos nues

Demander aux victimes des photos nues en échange du déverrouillage de leurs fichiers pourrait être une technique relativement récente utilisée par les opérateurs Ransomwared, mais le malware lui-même n'est pas nouveau du tout. Quelques minutes sur Google vous diront que la souche faisait d'abord le tour à la fin de 2018, et bien que les demandes étaient à l'époque un peu plus traditionnelles, le fonctionnement du ransomware était à peu près identique. Quand ils l'ont vu pour la première fois, les chercheurs en sécurité ont analysé la famille des ransomwares et ont rapidement réalisé qu'elle n'était pas très avancée.

Le mécanisme de chiffrement de Ransomwared repose sur DES (abréviation de Data Encryption Standard), un algorithme de chiffrement à clé symétrique développé dans les années 1970. C'est un algorithme faible dans le meilleur des cas, et pour couronner le tout, l'analyse technique des récents échantillons Ransomwared a révélé que la clé qui déverrouille les fichiers des personnes est stockée dans le code source du malware en texte brut.

Cependant, vous n'avez pas besoin de fouiller le code pour décrypter vos fichiers. Au début du mois, Emsisoft a publié un outil de décryptage gratuit qui peut déverrouiller des fichiers cryptés par les nouvelles et anciennes versions de Ransomwared.

Les victimes de ransomwares font souvent l'erreur de sauter l'arme et de céder aux demandes des escrocs sans penser aux conséquences. Comme vous pouvez le voir, cependant, souvent, quelques minutes de recherche suffisent pour vous faire économiser quelques pièces cryptographiques ou, dans ce cas, beaucoup d'embarras. Ces recherches peuvent également vous donner une idée de l'importance des sauvegardes.

February 14, 2020

Laisser une Réponse