Le malware, dont les initiales signifient «Curve Tor Bitcoin Locker», a été identifié l’an dernier, la propagation par spam semble être quelque chose de relativement nouveau pour ce malware. Dans un avertissement publié la semaine dernière, McAfee définit CTB-Locker comme une sorte de ransomware qui crypte des fichiers sur l’ordinateur cible.  La victime infectée doit alors payer une rançon de trois bitcoins pour voir ses fichiers décryptés.

COMMENT FONCTIONNE T’IL ?

Lors de son installation, CTB-Locker injecte du code malveillant dans le fichier «svchost.exe», créant une tâche planifiée pour le déplacement et le cryptage des fichiers.

Le malware crypte les fichiers ciblés en utilisant la méthode de cryptographie ECC (Elliptic Curve Cryptography). L’ ECC  est 12 fois plus puissante que la méthode RSA : un chiffrement 3072 bits avec la méthode RSA correspond à un chiffrement 256 bits en ECC.

Une fois que le cryptage est terminé, l’utilisateur voit apparaitre un message dans une fenêtre pop up disant que ses fichiers ont été cryptés. Un compte à rebours de 96 heures commence aussitôt. Si l’utilisateur ne verse pas les bitcoins demandés dans les 96 heures, il devient alors impossible de décrypter les fichiers touchés. La fenêtre qui apparaît permet à la victime de voir les fichiers qui ont été cryptés, et indique comment verser les bitcoins réclamés.

DES NOMS DIFFERENTS

McAfee a détecté CTB-Locker sous trois noms différents: BackDoor-FCKQ, Downloader-FAMV et Injector-FMZ. Symantec identifie Trojan.Cryptolocker.E. comme la charge active finale. Le malware se propage via les campagnes de spam, dans une archive .zip stockée dans un autre fichier .zip. Le fichier zippé contient le programme pour que CTB-Locker se télécharge.

Jusqu’à présent, les chercheurs ont découvert différents noms pour stocker l’utilitaire de téléchargement:

malformed.zip

plenitude.zip

inquires.zip

simoniac.zip

faltboat.zip

incurably.zip

payloads.zip

dessiatine.zip

Mis à part donner des conseils de protection standards comme ne pas ouvrir les fichiers .zip provenant de sources douteuses, et fournir des renseignements sur CTB-Locker, aucune solution miracle ne pourra être apportée pour parer ce malware.

Si les victimes attendent trop, ou ne payent pas la rançon demandée, il n’y a alors pratiquement aucun moyen de récupérer les fichiers cryptés. La meilleure façon de réduire l’impact d’une éventuelle infection, est de faire des sauvegardes de ses fichiers régulièrement.

Source : Coindesk

Cet article Un ransomware Bitcoin se propage via les spams est issue du site Le Coin Coin.

TorrentLocker (aka Win32 ou Filecoder.DI) est une souche de ransomware Bitcoin qui fonctionne en cryptant les fichiers des utilisateurs. Les victimes sont se voient alors demandé de payer jusqu’à 4 BTC pour décrypter leurs documents, bien que ce chiffre puisse varier. Le rapport, rédigé par Marc-Etienne M Léveillé pour la firme de sécurité ESET, a constaté que seulement 570 des 39 760 systèmes infectés ont eu accès à des logiciels de décryptage en payant entièrement la rançon.

«En d’autres termes 1,44% de tous les utilisateurs infectés que nous avons identifiés ont payé la rançon des cybercriminels», écrit Léveillé, ajoutant: «Il y a aussi 20 pages montrant que des bitcoins ont été envoyés, mais l’accès au logiciel de décryptage n’a pas été donné parce que le montant total n’a pas été payé. »

LES ATTAQUANTS CIBLENT DES REGIONS SPECIFIQUES

Les campagnes de spam visant à distribuer le logiciel malveillant TorrentLocker visaient des pays spécifiques, comme l’Autriche, la France, l’Allemagne, l’Italie et le Royaume-Uni, révèle le rapport. La Turquie et l’Australie ont été particulièrement touchées par ces campagnes.

Selon les données des serveurs C & C, plus de 284 000 000 de documents ont été chiffrée par le ransomware jusqu’ici.

Malgré le fait que très peu de victimes aient choisi de payer la rançon, les distributeurs de TorrentLocker, qui sont également soupçonnés d’être derrière le cheval de Troie bancaire Hesperbot, ont généré une importante somme d’argent – entre 292 700 $ et 585 401 $.

Le rapport note que ESET a identifié les premières traces de TorrentLocker en Février 2014. Toutefois, ses développeurs ont su réagir aux rapports en ligne et s’adapter. Ils ont ainsi changé la façon dont le malware utilise le cryptage AES après qu’une méthode de déchiffrement de la clé soit trouvée.

LES CRYPTO-RANSOMWARES RESTENT UNE MENACE

Depuis plus d’un an, certains cybercriminels ciblent leurs victimes avec des crypto-ransomware, notamment avec le virus Cryptolocker, leader dans le domaine.

En Juin 2014, les autorités internationales ont réussi à paralyser l’assaut de Cryptolocker en désactivant GOZeuS, le réseau P2P utilisé pour contrôler le réseau. Au moment où ce coup fut porté, Cryptolocker était accusé d’avoir engendré 27 millions de dollars de dommages. Bien que TorrentLocker a eu une portée limitée si on le compare à Cryptolocker, à la fin Novembre, le virus infectait encore les ordinateurs à une vitesse de 691,5 machines par jour. La rançon moyenne de TorrentLocker s’ élève à 1,334 BTC, ou de 2,668 BTC si l’on tarde à payer. Le montant exact recueilli par les assaillants reste incertain.

Bien des questions demeurent sur la façon d’arrêter les opérateurs derrière les botnets comme TorrentLocker, sauvegarder ses documents sur un support non connecté pourrait toutefois être un façon d’y remédier.

Source : Coindesk

Cet article 98,6% des victimes de TorrentLocker refusent de payer est issue du site Le Coin Coin.