Le ransomware Popcorn Time déchiffre vos fichiers à condition d'infecter au moins deux autres personnes
En partageant un lien
Le 2016-12-12 05:51:57, par Malick, Community Manager
Des chercheurs en sécurité de Malware Hunter ont découvert un nouveau type de ransomware en développement baptisé Popcorn Time et particulièrement différent des ransomwares déjà découverts à ce jour.
Il convient de rappeler que le fonctionnement habituel des ransomwares consiste à infecter l'ordinateur d'un internaute afin de chiffrer ses données et d'en empêcher l'accès. Cela fait, le ransomware demande à l'utilisateur infecté de verser aux cybercriminels une certaine somme afin d'obtenir la clé de déchiffrement de ses données.
Dans le cas de Popcorn Time, une fois que la machine cible est infectée, il va vérifier la présence de certains fichiers confirmant que le chiffrement de l'ordinateur s'est bien passé. D'après les chercheurs, le ransomware est capable de chiffrer tous les fichiers présents dans les dossiers Mes documents, Mes images, Ma musique, et sur le bureau ; soit des centaines d'extensions différentes.
Quand un fichier est chiffré, il aura l'extension .filock en plus de son extension initiale. Donc, un fichier nommé test.jpg sera chiffré comme test.jpg.filock.
Popcorn Time, en plus de demander le paiement d'un bitcoin soit l'équivalent de 780 dollars, offre une solution alternative aux utilisateurs infectés afin de leur permettre de déchiffrer leurs fichiers. Cette alternative consiste, pour l'utilisateur infecté, à partager un lien avec au moins deux autres personnes afin de leur transférer le malware. En faisant cela, l'utilisateur peut s'attendre à obtenir une clé de déchiffrement de ses fichiers et dossiers infectés.
Pour chiffrer les fichiers et les dossiers, le nouveau ransomware Popcorn Time se sert d'un faux logiciel pour s'installer sur la machine cible. Malware Hunter affirme également que ce ransomware utilise le chiffrement AES-256 pour verrouiller les données. L'utilisateur dont les données sont chiffrées disposera de six (6) jours pour s'acquitter de la rançon demandée par les pirates. À défaut de pouvoir payer cette rançon avant que la date d'échéance n'arrive, il devra obligatoirement procéder au transfert du malware à deux autres utilisateurs qui devront payer une fois que leurs fichiers seront chiffrés. C'est après que les autres auront fini de payer que les pirates enverront gratuitement la clé de déchiffrement à l'utilisateur initialement infecté.
Pour empirer les choses, un code inachevé est intégré dans le ransomware. Ce dernier devrait permettre l'identification d'un utilisateur qui aura saisi quatre (4) fois une mauvaise clé de déchiffrement. Pour ces derniers, la suppression des fichiers débutera dès la quatrième tentative sans succès et l'utilisateur dispose d'un délai de 2h à partir de ce moment pour faire le paiement.
Selon le communiqué, les cybercriminels seraient des étudiants en informatique d'origine syrienne et se servent du ransomware Popcorn Time pour survivre, notamment gagner de l'argent en vue d'acheter de la nourriture, des médicaments, etc.
Source : bleepingcomputer
Et vous ?
Voir aussi :
Il convient de rappeler que le fonctionnement habituel des ransomwares consiste à infecter l'ordinateur d'un internaute afin de chiffrer ses données et d'en empêcher l'accès. Cela fait, le ransomware demande à l'utilisateur infecté de verser aux cybercriminels une certaine somme afin d'obtenir la clé de déchiffrement de ses données.
Dans le cas de Popcorn Time, une fois que la machine cible est infectée, il va vérifier la présence de certains fichiers confirmant que le chiffrement de l'ordinateur s'est bien passé. D'après les chercheurs, le ransomware est capable de chiffrer tous les fichiers présents dans les dossiers Mes documents, Mes images, Ma musique, et sur le bureau ; soit des centaines d'extensions différentes.
Quand un fichier est chiffré, il aura l'extension .filock en plus de son extension initiale. Donc, un fichier nommé test.jpg sera chiffré comme test.jpg.filock.
Popcorn Time, en plus de demander le paiement d'un bitcoin soit l'équivalent de 780 dollars, offre une solution alternative aux utilisateurs infectés afin de leur permettre de déchiffrer leurs fichiers. Cette alternative consiste, pour l'utilisateur infecté, à partager un lien avec au moins deux autres personnes afin de leur transférer le malware. En faisant cela, l'utilisateur peut s'attendre à obtenir une clé de déchiffrement de ses fichiers et dossiers infectés.
Pour chiffrer les fichiers et les dossiers, le nouveau ransomware Popcorn Time se sert d'un faux logiciel pour s'installer sur la machine cible. Malware Hunter affirme également que ce ransomware utilise le chiffrement AES-256 pour verrouiller les données. L'utilisateur dont les données sont chiffrées disposera de six (6) jours pour s'acquitter de la rançon demandée par les pirates. À défaut de pouvoir payer cette rançon avant que la date d'échéance n'arrive, il devra obligatoirement procéder au transfert du malware à deux autres utilisateurs qui devront payer une fois que leurs fichiers seront chiffrés. C'est après que les autres auront fini de payer que les pirates enverront gratuitement la clé de déchiffrement à l'utilisateur initialement infecté.
Pour empirer les choses, un code inachevé est intégré dans le ransomware. Ce dernier devrait permettre l'identification d'un utilisateur qui aura saisi quatre (4) fois une mauvaise clé de déchiffrement. Pour ces derniers, la suppression des fichiers débutera dès la quatrième tentative sans succès et l'utilisateur dispose d'un délai de 2h à partir de ce moment pour faire le paiement.
Selon le communiqué, les cybercriminels seraient des étudiants en informatique d'origine syrienne et se servent du ransomware Popcorn Time pour survivre, notamment gagner de l'argent en vue d'acheter de la nourriture, des médicaments, etc.
Source : bleepingcomputer
Et vous ?
Voir aussi :
-
AndarusMembre confirmé"C'est après que les autres auront fini de payer que les pirates enverront gratuitement la clé de déchiffrement à l'utilisateur initialement infecté."le 12/12/2016 à 13:20
-
GrimlyMembre avertiOù est-ce mentionné ?Selon le communiqué, les cybercriminels seraient des étudiants en informatique d'origine syrienne et se servent du ransomware Popcorn Time pour survivre, notamment gagner de l'argent en vue d'acheter de la nourriture, des médicaments, etc.
De plus, j'ai du mal à croire une telle fraude pour de la nourriture.
S'ils sont dans une région coupée de tout, il faut avoir un endroit où l'acheter avant d'avoir les sous.le 12/12/2016 à 15:21 -
blbirdMembre chevronnéC'est trop fort. Ils promeuvent leur ransomware à peu de frais, sachant que j'imagine si les 2 personnes infectées se font rembourser, ca ne compte pas pour un remboursement, il aurait fallu qu'elles payent toutes les 2? Le couplet sur la nourriture est juste là, je pense, pour encore plus déresponsabiliser l'action de refiler le ransomware à d'autres.
Au final, pas mal de personnes risquent de tenter d'en infecter d'autres (qui ne connais pas 2 personnes qu'il n'aime pas spécialement?) avec très peu de risques pour les auteurs du ransomware de devoir décrypter quelqu'un gratuitement.le 12/12/2016 à 15:29 -
miky55Membre avertiComme dit précédemment cette réponse est bien naïve... Les cybercriminels sont avant tout des criminels, ils ne se laissent pas avoir aussi facilement, les malawares bien codés savent vérifier si ils s’exécutent sur une vm ou pas. De plus quand on essaye de les entourlouper ils sont plutôt du genre à doubler la rançon ou détruire définitivement les fichiers.le 13/12/2016 à 22:20
-
BeanuxMembre éclairéTu parles de par exemple ceux qui ont créé un ransomeware et qui ont mal créé leur système de chiffrement rendant ainsi impossible le décodage ? Et c'est bien accidentel, le code permettait la génération d'un code, mais l'enregistrement étaient foireux.
Donc oui les cybercriminel sont pro etc, mais ça n’empêche pas de faire des erreurs. Ça aurait pu en être une.
Après rien n'interdit dans le raisonnement d'installer un windows sur un pc a coté pour faire cette validation. Le principe lui-même n'aurait pas été terrible.
Par contre comme j'ai mal lu et que c’est au paiement des sous infecté que ça débloque le le pc, c'est relativement plus ingénieux.le 14/12/2016 à 8:19 -
BeanuxMembre éclairéJe suis juste en train de me demander, mais c’est pas simple de se créer 2 VM windows, y mettre quelques trucs rapidos et les infecter ? Ou le malware va probablement détecter qu'il est en environnement virtualisé ?
Ou encore voir ais faire une installation avec un pc frachement installé ou un truc du genre ?le 12/12/2016 à 13:14