Attention à ceux qui ne peuvent résister à l’envie d’ouvrir des mails et des fichiers dont ils ne connaissent pas la provenance, McAfee Labs et Symantec ont émis un avertissement à propos du ransomware bitcoin CTB-Locker, qui se propage à présent via les campagnes de spam.
Le malware, dont les initiales signifient «Curve Tor Bitcoin Locker», a été identifié l’an dernier, la propagation par spam semble être quelque chose de relativement nouveau pour ce malware. Dans un avertissement publié la semaine dernière, McAfee définit CTB-Locker comme une sorte de ransomware qui crypte des fichiers sur l’ordinateur cible. La victime infectée doit alors payer une rançon de trois bitcoins pour voir ses fichiers décryptés.
COMMENT FONCTIONNE T’IL ?
Lors de son installation, CTB-Locker injecte du code malveillant dans le fichier «svchost.exe», créant une tâche planifiée pour le déplacement et le cryptage des fichiers.
Le malware crypte les fichiers ciblés en utilisant la méthode de cryptographie ECC (Elliptic Curve Cryptography). L’ ECC est 12 fois plus puissante que la méthode RSA : un chiffrement 3072 bits avec la méthode RSA correspond à un chiffrement 256 bits en ECC.
Une fois que le cryptage est terminé, l’utilisateur voit apparaitre un message dans une fenêtre pop up disant que ses fichiers ont été cryptés. Un compte à rebours de 96 heures commence aussitôt. Si l’utilisateur ne verse pas les bitcoins demandés dans les 96 heures, il devient alors impossible de décrypter les fichiers touchés. La fenêtre qui apparaît permet à la victime de voir les fichiers qui ont été cryptés, et indique comment verser les bitcoins réclamés.
DES NOMS DIFFERENTS
McAfee a détecté CTB-Locker sous trois noms différents: BackDoor-FCKQ, Downloader-FAMV et Injector-FMZ. Symantec identifie Trojan.Cryptolocker.E. comme la charge active finale. Le malware se propage via les campagnes de spam, dans une archive .zip stockée dans un autre fichier .zip. Le fichier zippé contient le programme pour que CTB-Locker se télécharge.
Jusqu’à présent, les chercheurs ont découvert différents noms pour stocker l’utilitaire de téléchargement:
malformed.zip
plenitude.zip
inquires.zip
simoniac.zip
faltboat.zip
incurably.zip
payloads.zip
dessiatine.zip
Mis à part donner des conseils de protection standards comme ne pas ouvrir les fichiers .zip provenant de sources douteuses, et fournir des renseignements sur CTB-Locker, aucune solution miracle ne pourra être apportée pour parer ce malware.
Si les victimes attendent trop, ou ne payent pas la rançon demandée, il n’y a alors pratiquement aucun moyen de récupérer les fichiers cryptés. La meilleure façon de réduire l’impact d’une éventuelle infection, est de faire des sauvegardes de ses fichiers régulièrement.
Source : Coindesk