IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Phobos, un nouveau logiciel de rançon, exploite les ports RDP ouverts ou mal sécurisés
Pour exécuter une attaque de rançon

Le , par Bill Fassinou

82PARTAGES

12  0 
Les ransomwares représentent une menace sérieuse dans la mesure où ils prennent en otage les fichiers et documents d’un appareil et le propriétaire dispose parfois d’une fenêtre de temps pour payer la rançon, au risque de voir ses données supprimées. Mais qu’est-ce qui garantit que le hacker va effectivement remettre la clé de déchiffrement une fois la rançon payée ? Sans compter le fait qu’il n’est pas conseillé de payer ces demandeurs de rançon étant donné que leur activité s’en trouve encouragée. On se rappelle de Dharma. Apparu pour la première fois en novembre 2017, Dharma est une variante du ransomware Crysis. Il est facile de le reconnaître à sa trace par l'ajout aux fichiers chiffrés de l'extension .[email_address].dharma, où l'adresse mail correspondante est celle qui est utilisée par le pirate pour tenter d'extorquer sa victime.

Depuis mi-décembre de l'année dernière, un groupe de cybercriminels à l'origine d'une série d'attaques par rançon de logiciels malveillants distribue une nouvelle forme de maliciel de cryptage de fichiers qui combine deux variantes bien connues et efficaces dans une série d'attaques contre des entreprises dans le monde entier. Le logiciel de rançon, surnommé Phobos par créateurs, présente des similitudes techniques et opérationnelles avec plusieurs variantes du Dharma. Comme Dharma, Phobos exploite les ports RDP ouverts ou mal sécurisés pour se faufiler à l'intérieur des réseaux et exécuter une attaque de rançon, chiffrer les fichiers et exiger une rançon à payer en bitcoin pour retourner les fichiers, qui dans ce cas sont verrouillés avec une extension .phobos.


À part l'ajout des logos de 'Phobos' à la demande de rançon, c'est exactement la même que la note utilisée par Dharma, avec la même police de caractères et le même texte. « La plupart des logiciels de rançon laissent une demande de rançon évidente afin que la victime puisse la trouver et contacter le pirate. Généralement, ces notes varient considérablement en fonction de la souche du logiciel de rançon. Cependant, Dharma et Phobos utilisent la même demande de rançon. La seule différence visible est que Phobos a ajouté son logo en haut et en bas. Phobos Ransomware Note est similaire à une Note du Dharma », indique Coveware, une entreprise qui aide les clients à mieux comprendre les particularités associées à certaines souches de ransomware.

Phobos n'est que légèrement différent du Dharma. Cependant, d'un point de vue technique, Phobos présente quelques différences subtiles par rapport aux variantes actives du dharma. Les deux types de logiciels de rançon tirent leurs limites de la famille de logiciels de rançon Crysis et les outils d'antivirus couramment utilisés identifient un échantillon exécutable de Phobos comme Crysis, précise Coveware. « Les différences observées dans une analyse récente de @Demonslay335 indiquent que la structure des marqueurs de fichiers de Phobos est significativement différente de celle des variantes du Dharma. Ce qui est clair, c'est que même si le type de logiciel de rançon peut être différent, le groupe qui distribue Phobos, les méthodes d'exploitation, les notes de rançon et les communications restent presque identiques au Dharma », explique Coveware.

Source : Coveware

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Les outils pour déchiffrer ses données verrouillées par le ransomware Dharma sont disponibles gratuitement

Une entreprise prétend déverrouiller les fichiers de ses clients victimes de ransomwares mais paie la rançon en se faisant une grosse marge

Bitdefender dévoile Bart Decryptor un outil gratuit qui permet de déchiffrer les fichiers verrouillés par le ransomware Bart

Une erreur dans cette actualité ? Signalez-nous-la !