Un ransomware ciblant les gamers demande à ses victimes d'atteindre un score élevé à un jeu vidéo
Avant de déchiffrer leurs données

Le , par Patrick Ruiz, Chroniqueur Actualités
PetrWrap, Petya, Tear Down, Charger, Goldeneye, Cerber, Telecrypt, Stampado, etc., la liste des menaces classées sous la catégorie ransomware pourrait être allongée à souhait, tant leurs auteurs font preuve d’imagination. Le dénominateur commun de ce type de menace est de requérir de la victime une rançon. Il semblerait cependant que l’objectif des auteurs de ransomware ne soit pas toujours l’argent. Tout récemment, les gamers auraient subi le courroux d’un ransomware d’un type particulier. Une fois installé sur votre PC, ce dernier prend en otage vos données personnelles et vous impose de jouer à un jeu vidéo pour les déchiffrer.

Le créateur du ransomware est un étudiant coréen connu sous le pseudonyme Twitter Tvple Eraser. Il dit l’avoir créé pour « ennuyer » les fans du jeu Touhou Seiresen (TH12), un jeu vidéo pour PC. Les machines infectées par Rensenware sont sujettes à l’avertissement classique : « vos documents, musiques, images et autres fichiers de projets ont été chiffrés par un excellent algorithme ». La suite est cependant moins commune : « la seule façon de récupérer vos données est de jouer à TH12 et d’atteindre le score de 200 millions de points au niveau LUNATIC », tâche qui, Tvple Eraser lui-même reconnait, n’est pas du tout aisée.


D’après Kotaku, un blog spécialisé en jeux vidéo, ce « drame » a débuté le jour où Tvple Eraser s’est endormi devant l’écran de son PC après avoir posté le code source du ransomware sur GitHub. Ce n’est que plus tard, les retours des réseaux sociaux aidant, qu’il se rendra compte du niveau de propagation de la menace : « je me suis rendu compte de l’ampleur des dégâts », a-t-il déclaré dans un entretien avec l’équipe de Kotaku.

On ne sait à ce stade combien de victimes le ransomware a faites, mais Tvple Eraser affirme avoir reçu énormément de blâmes de la part des fans du jeu TH12 auprès desquels il s’est d’ailleurs excusé : « je n’ai pas créé ce ransomware avec des desseins criminels, je sais que mes excuses ne pèsent pas lourd, mais je tiens à vous les adresser une fois de plus ».

Tvple Eraser a publié un outil de manipulation de la mémoire du jeu vidéo TH12. Le dépôt GitHub de l’outil porte le nom rensenWare_force. Cet outil permet, selon lui, de passer outre le mécanisme de chiffrement du ransomware sans qu’il soit nécessaire de jouer au jeu. Il a également dédié un nouveau dépôt GitHub à une application destinée à la protection des machines non encore infectées par le ransomware. Sur le dépôt GitHub, il est clairement indiqué « de ne pas en faire usage dans le cas où la machine serait déjà infectée par Rensenware ».

Des personnes ont-elles déjà été victimes de ce malware ? Difficile à dire. La MalwareHunterTeam semble pourtant y accorder du crédit puisqu’elle a fait un arrêt particulier sur la section de code du ransomware dédiée au contrôle du processus en mémoire du jeu vidéo. Et le commentaire parle de lui-même : « voici en deux parties la section de code qui vérifie le processus en mémoire. Elle teste bien que vous êtes au niveau spécifié et que vous avez le score requis ».


Sources : Kotaku, Rensenware_force, rensenWare Protector, MalwareHunterTeam

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Telecrypt, le ransomware qui utilise l'API de Telegram pour communiquer avec les pirates a été cracké, un outil de déchiffrement est disponible

Les serveurs Windows seraient la cible du ransomware Cerber installé grâce à une faille sur Apache Strusts 2, selon le SANS Internet Storm Center


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 13/04/2017 à 13:41
beau buzz pour TH12
Avatar de Skyxia Skyxia - Membre averti https://www.developpez.com
le 13/04/2017 à 14:10


J'ai entendu parler de ça, et je tiens a rajouter une information qui n'est pas précisé ici, mais cet étudiant est un boulet !
Pourquoi ? Parce qu'il a tout simplement avoué par la suite avoir lui même infecté son ordinateur par erreur !

(Source : https://www.zataz.com/boulet-de-sema...ur-ransomware/ )

Voilà voilà

Cordialement.
Avatar de CaptainDangeax CaptainDangeax - Membre actif https://www.developpez.com
le 14/04/2017 à 10:50
Une bonne raison de continuer à utiliser Linux comme système principal. Le jeu que tu désires n'a pas été porté ? Fais-le savoir aux développeurs et joue à autre chose, ça ne changera pas le reste de ta vie.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 15/04/2017 à 23:53
@CaptainDangeax
J'ai déjà fait un virus déplaçant les fichiers à intervalles réguliers pour faire chier un collègue particulièrement pénible et le poste était sur une distrib Ubuntu donc ton commentaire ...
Avatar de Maybeking Maybeking - Nouveau Candidat au Club https://www.developpez.com
le 18/04/2017 à 19:24
@TiranusKBX il dit ça parce que le code est en C# ...
Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 19/04/2017 à 10:43
Citation Envoyé par Maybeking Voir le message
@TiranusKBX il dit ça parce que le code est en C# ...
Et alors ?
Depuis quand le C# n'est pas supporté par Ubuntu ?
http://vincentlaine.developpez.com/tuto/dotnet/mono/
Offres d'emploi IT
Consultant / ingénieur bi
Finelog - Ile de France - Ile de France
Data ingénieur F/H
Zenika - Nord Pas-de-Calais - Lille (59000)
Ingénieur sécurité du SI (H/F)
Atos - Ile de France - Bezons (95870)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil