Developpez.com

Le Club des Développeurs et IT Pro

Ranscam : un ransomware qui efface les données des victimes

Même en cas de paiement de la rançon

Le 2016-07-14 23:49:15, par Coriolan, Expert éminent sénior
Les ransomwares sont devenus une tendance chez les cybercriminels afin d’extorquer l’argent des victimes. Pour cette raison, les concepteurs de ces malwares continuent de les améliorer et les perfectionner pour les rendre encore plus redoutables. Mais on ne peut pas dire la même chose à propos de Ranscam, un nouveau ransomware dévoilé par la firme de sécurité Talos.

Ranscam est une arnaque pire que les arnaques des autres ransomwares. Tous ces programmes sont malveillants, mais au moins, ils offrent une lueur d’espoir aux victimes, en leur promettant de récupérer leurs fichiers si elles suivent les instructions. Mais pour Ranscam, rien de tout ça ne compte, il ne déchiffre pas les fichiers même si la victime paie la somme demandée.

Ranscam n’est pas un ransomware aussi complexe que Cryptowall ou Teslacrypt par exemple, il manque de capacités comme le déchiffrement et la restauration de fichiers. Le malware prétend tout simplement qu’il a chiffré les fichiers et envoie l’utilisateur vers une landing page qui demande le paiement de 0,2 bitcoin. Ensuite, il continue de faire monter la pression, en informant ses victimes que pour chaque manipulation dans leurs ordinateurs qui n’est pas liée au paiement, des fichiers sont supprimés.

Seulement tout cela n’est pas vrai, Ranscam entreprend de supprimer les fichiers de ses victimes dès le début. Ainsi, il écarte toute possibilité de les récupérer, même en cas de paiement de la rançon. Il informe aussi ses victimes que leurs fichiers ont été transférés vers une partition cachée et chiffrée, ce qui est inhabituel. L’ensemble des autres ransomwares indiquent que les fichiers sont encore dans leur emplacement et qu’ils sont chiffrés pour restreindre l’accès.

Au lieu de chiffrer les fichiers, Ranscam les détruit tout simplement. Il détruit aussi des fichiers clés de Windows qui permettent d’effectuer une restauration du système. Les clés du registre de Windows qui permettent d’entrer dans le Safe Mode ou le Gestionnaire des tâches sont effacées. Bref, le ransomware cherche à pousser la victime à payer en la persuadant qu'il n'y a plus d'autre solution.

Talos a trouvé que le message présenté aux victimes est juste un fichier image téléchargé par une requête HTTP non sécurisée et non chiffrée à partir d’un serveur en Californie. Après la finalisation de la transaction, cliquer sur le « bouton » après le paiement ne résulte à rien, le malware affiche une autre image « nopay.png » qui informe seulement la victime que le paiement n’a pas pu être vérifié et en conséquence, un fichier pris en otage a été détruit. Et le malware continue à agir ainsi même en recommençant les étapes à zéro. En effet, tous les fichiers ont été déjà détruits par un script lancé par un exécutable Windows .NET depuis le début.

Les chercheurs ont pu communiquer avec les pirates à l’origine du ransomware. Les cybercriminels ont répondu à l’email et ont expliqué comment acheter et envoyer le bitcoin. Ils ont même préconisé aux chercheurs (qui se sont fait passer pour des ignorants), que s’ils avaient besoin de faire un transfert de cash pour acheter le bitcoin le samedi, ils doivent faire les transactions nécessaires un peu tôt, avant la fermeture des banques. Pour les chercheurs, ces cybercriminels manifestent leur volonté d’apporter le support technique à leurs victimes afin de maximiser la chance de recevoir un paiement.

Source : Blog Talos

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Les ransomware continuent d'évoluer : Cerber se dote d'une fonctionnalité, pour créer des versions différentes de lui-même toutes les 15 secondes
EduCrypt : un ransomware qui apprend une leçon sur la sécurité informatique et fournit une clé de déchiffrement sans demander de rançon
  Discussion forum
6 commentaires
  • Squisqui
    En attente de confirmation mail
    Il y a une erreur de taille dans l'article.

    Ranscam n'est pas un ransomware.
  • TheLastShot
    Membre extrêmement actif
    @marts, il faut te mettre à la place d'un utilisateur lambda qui ne connait que très peu de chose en informatique en dehors de son utilisation quotidienne (word, google, facebook, ...). Ils ne sont pas capables de déterminer si les fichiers ont été effectivement chiffrés et déplacés (ce dernier argument étant surement là pour expliquer la diminution de l'espace utilisé sur le pc) ou s'ils ont été définitivement supprimés. Donc ils vont payer dans l'espoir de récupérer ces fichiers, et le "sav" des criminels est là pour les inciter à recommencer l'opération en cas "d'échec" de l'opération.

    (Bon, l'avantage de cet "ransomware" par rapport aux autres, c'est que si effectivement ils se contentent de supprimer les fichiers au lieu de les chiffrer, ils doit être possible de les récupérer via un outil de récup')
  • Squisqui
    En attente de confirmation mail
    Envoyé par marts
    Ils veulent maximiser leur chance de recevoir un paiement ... mais les victimes sachant que leurs fichiers sont de toute façon condamnés ne vont certainement pas payer !
    Il y a quelque chose qui m'échappe ou ils sont vraiment stupides ?...
    Les ransomwares représentent les virus les plus visibles aujourd'hui.
    Cette fois, il s'agit d'un virus qui se fait passer pour un ransomware. La victime est persuadée qu'elle va récupérer des fichiers en payant.

    À première vue, c'est bête et méchant. Mais ce virus a le mérite de détruire la confiance qui s'est établie entre les victimes et les ransomwares.
    Vu la multiplication des ransomware depuis ces 5 dernières années, je ne pense pas me mouiller en disant que c'est une activité de plus en plus lucrative car les victimes paient de plus en plus facilement car elles sont persuadées de récupérer leurs données.

    Sauf que cette fois, la victime croit qu'il s'agit d'un ransomware alors que c'est juste une arnaque qui a tout supprimé.

    Envoyé par TheLastShot
    (Bon, l'avantage de cet "ransomware" par rapport aux autres, c'est que si effectivement ils se contentent de supprimer les fichiers au lieu de les chiffrer, ils doit être possible de les récupérer via un outil de récup')
    Sauf si les pirates font une écriture aléatoire après suppression. Si ce n'est pas le cas aujourd'hui, ça le sera demain.
  • niuxe
    Membre régulier
  • Matthieu Vergne
    Expert éminent
    Au passage, il semble que Europol a mis en place un site web pour aider les victimes de vrai ransomware :
    https://www.nomoreransom.org/
    https://www.europol.europa.eu/newsle...ght-ransomware

    Je laisse les intéressés faire une news dessus.
  • marts
    Membre averti
    Ils veulent maximiser leur chance de recevoir un paiement ... mais les victimes sachant que leurs fichiers sont de toute façon condamnés ne vont certainement pas payer !
    Il y a quelque chose qui m'échappe ou ils sont vraiment stupides ?...