Les ransomwares sont devenus une tendance chez les cybercriminels afin d’extorquer l’argent des victimes. Pour cette raison, les concepteurs de ces malwares continuent de les améliorer et les perfectionner pour les rendre encore plus redoutables. Mais on ne peut pas dire la même chose à propos de Ranscam, un nouveau ransomware dévoilé par la firme de sécurité Talos.Ranscam est une arnaque pire que les arnaques des autres ransomwares. Tous ces programmes sont malveillants, mais au moins, ils offrent une lueur d’espoir aux victimes, en leur promettant de récupérer leurs fichiers si elles suivent les instructions. Mais pour Ranscam, rien de tout ça ne compte, il ne déchiffre pas les fichiers même si la victime paie la somme demandée.
Ranscam n’est pas un ransomware aussi complexe que Cryptowall ou Teslacrypt par exemple, il manque de capacités comme le déchiffrement et la restauration de fichiers. Le malware prétend tout simplement qu’il a chiffré les fichiers et envoie l’utilisateur vers une landing page qui demande le paiement de 0,2 bitcoin. Ensuite, il continue de faire monter la pression, en informant ses victimes que pour chaque manipulation dans leurs ordinateurs qui n’est pas liée au paiement, des fichiers sont supprimés.
Seulement tout cela n’est pas vrai, Ranscam entreprend de supprimer les fichiers de ses victimes dès le début. Ainsi, il écarte toute possibilité de les récupérer, même en cas de paiement de la rançon. Il informe aussi ses victimes que leurs fichiers ont été transférés vers une partition cachée et chiffrée, ce qui est inhabituel. L’ensemble des autres ransomwares indiquent que les fichiers sont encore dans leur emplacement et qu’ils sont chiffrés pour restreindre l’accès.
Au lieu de chiffrer les fichiers, Ranscam les détruit tout simplement. Il détruit aussi des fichiers clés de Windows qui permettent d’effectuer une restauration du système. Les clés du registre de Windows qui permettent d’entrer dans le Safe Mode ou le Gestionnaire des tâches sont effacées. Bref, le ransomware cherche à pousser la victime à payer en la persuadant qu'il n'y a plus d'autre solution.
Talos a trouvé que le message présenté aux victimes est juste un fichier image téléchargé par une requête HTTP non sécurisée et non chiffrée à partir d’un serveur en Californie. Après la finalisation de la transaction, cliquer sur le « bouton » après le paiement ne résulte à rien, le malware affiche une autre image « nopay.png » qui informe seulement la victime que le paiement n’a pas pu être vérifié et en conséquence, un fichier pris en otage a été détruit. Et le malware continue à agir ainsi même en recommençant les étapes à zéro. En effet, tous les fichiers ont été déjà détruits par un script lancé par un exécutable Windows .NET depuis le début.
Les chercheurs ont pu communiquer avec les pirates à l’origine du ransomware. Les cybercriminels ont répondu à l’email et ont expliqué comment acheter et envoyer le bitcoin. Ils ont même préconisé aux chercheurs (qui se sont fait passer pour des ignorants), que s’ils avaient besoin de faire un transfert de cash pour acheter le bitcoin le samedi, ils doivent faire les transactions nécessaires un peu tôt, avant la fermeture des banques. Pour les chercheurs, ces cybercriminels manifestent leur volonté d’apporter le support technique à leurs victimes afin de maximiser la chance de recevoir un paiement.
Source : Blog Talos
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Les ransomware continuent d'évoluer : Cerber se dote d'une fonctionnalité, pour créer des versions différentes de lui-même toutes les 15 secondes EduCrypt : un ransomware qui apprend une leçon sur la sécurité informatique et fournit une clé de déchiffrement sans demander de rançon 
Envoyé par marts
