Un ransomware ciblant les gamers demande à ses victimes d'atteindre un score élevé à un jeu vidéo

PetrWrap, Petya, Tear Down, Charger, Goldeneye, Cerber, Telecrypt, Stampado, etc., la liste des menaces classées sous la catégorie ransomware pourrait être allongée à souhait, tant leurs auteurs font preuve d’imagination. Le dénominateur commun de ce type de menace est de requérir de la victime une rançon. Il semblerait cependant que l’objectif des auteurs de ransomware ne soit pas toujours l’argent. Tout récemment, les gamers auraient subi le courroux d’un ransomware d’un type particulier. Une fois installé sur votre PC, ce dernier prend en otage vos données personnelles et vous impose de jouer à un jeu vidéo pour les déchiffrer.

Le créateur du ransomware est un étudiant coréen connu sous le pseudonyme Twitter Tvple Eraser. Il dit l’avoir créé pour « ennuyer » les fans du jeu Touhou Seiresen (TH12), un jeu vidéo pour PC. Les machines infectées par Rensenware sont sujettes à l’avertissement classique : « vos documents, musiques, images et autres fichiers de projets ont été chiffrés par un excellent algorithme ». La suite est cependant moins commune : « la seule façon de récupérer vos données est de jouer à TH12 et d’atteindre le score de 200 millions de points au niveau LUNATIC », tâche qui, Tvple Eraser lui-même reconnait, n’est pas du tout aisée.


D’après Kotaku, un blog spécialisé en jeux vidéo, ce « drame » a débuté le jour où Tvple Eraser s’est endormi devant l’écran de son PC après avoir posté le code source du ransomware sur GitHub. Ce n’est que plus tard, les retours des réseaux sociaux aidant, qu’il se rendra compte du niveau de propagation de la menace : « je me suis rendu compte de l’ampleur des dégâts », a-t-il déclaré dans un entretien avec l’équipe de Kotaku.

On ne sait à ce stade combien de victimes le ransomware a faites, mais Tvple Eraser affirme avoir reçu énormément de blâmes de la part des fans du jeu TH12 auprès desquels il s’est d’ailleurs excusé : « je n’ai pas créé ce ransomware avec des desseins criminels, je sais que mes excuses ne pèsent pas lourd, mais je tiens à vous les adresser une fois de plus ».

Tvple Eraser a publié un outil de manipulation de la mémoire du jeu vidéo TH12. Le dépôt GitHub de l’outil porte le nom rensenWare_force. Cet outil permet, selon lui, de passer outre le mécanisme de chiffrement du ransomware sans qu’il soit nécessaire de jouer au jeu. Il a également dédié un nouveau dépôt GitHub à une application destinée à la protection des machines non encore infectées par le ransomware. Sur le dépôt GitHub, il est clairement indiqué « de ne pas en faire usage dans le cas où la machine serait déjà infectée par Rensenware ».

Des personnes ont-elles déjà été victimes de ce malware ? Difficile à dire. La MalwareHunterTeam semble pourtant y accorder du crédit puisqu’elle a fait un arrêt particulier sur la section de code du ransomware dédiée au contrôle du processus en mémoire du jeu vidéo. Et le commentaire parle de lui-même : « voici en deux parties la section de code qui vérifie le processus en mémoire. Elle teste bien que vous êtes au niveau spécifié et que vous avez le score requis ».


Sources : Kotaku, Rensenware_force, rensenWare Protector, MalwareHunterTeam

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Telecrypt, le ransomware qui utilise l'API de Telegram pour communiquer avec les pirates a été cracké, un outil de déchiffrement est disponible

Les serveurs Windows seraient la cible du ransomware Cerber installé grâce à une faille sur Apache Strusts 2, selon le SANS Internet Storm Center