GandCrab, le malware d’extorsion pornographique est de retour

7 Mar 2019

« Nous avons piraté votre webcam, et nous vous avons surpris en train de regarder des vidéos pornographiques. Nous avons chiffré vos données, et maintenant vous devez nous payer une rançon. » Vous vous souvenez peut-être qu’une méthode de chantage similaire a connu un succès phénoménal l’an dernier. Il semblerait que les rumeurs, qui disent que le ransomware derrière cette escroquerie est en train de disparaître, soient inexactes.

Le ransomware GandCrab est de retour, et plus actif que jamais. Ses développeurs ne cessent de lancer de nouvelles versions pour ne pas perdre la part de marché actuellement détenue, et qu’ils ont si durement gagnée : près de 40 % de l’ensemble du marché des ransomwares. Les cybercriminels qui louent et répandent GandCrab se maintiennent informés, choisissent la diversification et la créativité, et utilisent parfois des méthodes romantiques pour infecter les victimes.

Un ransomware pour les sentimentaux

Si l’objet du message est une déclaration d’amour, alors il pourrait attirer votre attention, mais les phrases comme « Je t’ai écrit une lettre d’amour », « Je t’aime », ou « Je tenais à te dire ce que je ressens pour toi » annoncent en réalité une éventuelle catastrophe. Ce genre de message ne va peut-être pas éveiller vos soupçons si vous le recevez à la Saint-Valentin, à Noël, au Nouvel An, pour votre anniversaire, ou même lorsque vous passez un lundi déprimant au travail. Il s’agit, en apparence, d’un e-mail quelconque, mais vous devez faire particulièrement attention dans ce cas.

La version la plus courante d’un e-mail malveillant, qui circule en ce moment, a une phrase romantique comme objet, un cœur dans le message, et une pièce jointe qui s’avère être un fichier ZIP généralement intitulé Love_You suivi de plusieurs chiffres. Si vous décidez d’extraire le fichier JavaScript et de l’exécuter, alors vous allez télécharger le ransomware GandCrab.

Vous serez ensuite redirigé vers une note qui vous explique que toutes les données de votre ordinateur ont été chiffrées, et que vous devez payer une rançon, généralement en bitcoins, pour les récupérer. Si vous n’avez jamais utilisé de crypto-monnaie, le groupe qui a organisé l’attaque vous propose d’utiliser la fenêtre de conversation en direct, pour que les escrocs puissent vous expliquer comment obtenir la somme nécessaire, et payer la rançon.

Un ransomware pour les entreprises

Un patch avait été lancé en 2017 pour corriger la vulnérabilité d’un outil utilisé pour synchroniser les données entre deux systèmes de gestion d’entreprises informatiques. Tout le monde n’a pas installé cette correction. En 2019, GandCrab s’attaque aux personnes qui ne l’ont pas fait, et chiffre tous les ordinateurs qu’il peut atteindre.

Cette faille de sécurité permet aux malfaiteurs de créer de nouveaux comptes administrateur, pour ensuite lancer des commandes permettant d’installer le ransomware sur les points de terminaison gérés. En d’autres termes, ils chiffrent les machines des clients de l’entreprise visée, et demandent une rançon (toujours en crypto-monnaie).

Un ransomware pour les alarmistes responsables (tout le monde)

Combien d’entre nous ouvrirait la pièce jointe d’un e-mail si on nous disait qu’il s’agit du nouveau plan des issues de secours du bâtiment où vous travaillez ? Même si l’adresse e-mail nous est parfaitement inconnue ? Il est fort probable que nous l’ouvrions tous. Au bout du compte, nous ne nous souvenons pas du nom de tous les responsables de sécurité.

Les escrocs ont commencé à profiter de cette situation, et ont envoyé des e-mails malveillants qui contenaient un fichier Word. Les personnes qui ouvrent le fichier ne voit que le titre « Plan des issues de secours », et le bouton Autoriser le contenu. Vous allez installer le ransomware GandCrab si vous cliquez sur le bouton.

Un ransomware pour les payeurs

Une autre méthode consiste à utiliser un e-mail qui ressemble à une facture, ou à une confirmation de paiement disponible, que vous pouvez télécharger depuis WeTransfer. Le lien vous dirige vers un fichier ZIP, ou RAR, et un mot de passe pour pouvoir l’ouvrir. Devinez ce que l’archive contient.

Un ransomware pour les italiens

Une autre version se sert d’un bon de paiement qui se présente sous la forme d’un fichier Excel. Essayez de l’ouvrir, et une boîte de dialogue de fichier va vous dire qu’il est impossible de visualiser le fichier en ligne, et que vous devez cliquer sur Autoriser les modifications et Autoriser le contenu pour pouvoir le consulter.

Bizarrement, cette attaque ne cible que les italiens, du moins pour le moment. En cliquant sur les boutons indiqués, vous autorisez un script à vérifier si votre ordinateur se trouve en Italie, et le résultat repose sur la langue administrative du système d’exploitation.

Si ce n’est pas le cas, alors rien ne se passe. Mais s’il s’avère que vous êtes en Italie, vous allez connaître le sens de l’humour du cybercriminel, puisqu’il affiche une image de Mario. Vous savez, celui de Super Mario Bros.

Cette image de Mario contient un code malveillant qui télécharge le malware

 

L’image, qui se télécharge lorsque vous cliquez pour voir le contenu du fichier, contient un code PowerShell malveillant qui lance le téléchargement du malware. Pour le moment, les chercheurs ne sont pas d’accord, et ne peuvent pas dire de quel malware il s’agit : GandCrab, qui chiffre vos données, ou Ursnif, qui vole les identifiants de votre compte bancaire en ligne. Pour tout vous dire, la différence est minime. Ce qui est important ici c’est la méthode de distribution, même si ces malwares ne cessent d’évoluer.

Dites non au crabe gourmand

De nombreuses personnes propagent GandCrab. Il s’agit d’un ransomware-as-a-service, développé par une équipe de malfaiteurs, et loué à d’autres escrocs qui essaient de chiffrer un maximum de cibles. Malgré quelques différences dans la méthode de distribution, vous pouvez vous protéger des pinces gourmandes de GandCrab en adoptant de meilleures habitudes, et en suivant ces quelques conseils :

  • Lorsque vous recevez un e-mail inattendu, essayez de vous assurer que le message est authentique avant d’ouvrir la pièce jointe. Vous pouvez par exemple appeler l’expéditeur.
  • Réalisez toujours une sauvegarde de confiance et vérifiée de toutes vos données importantes pour pouvoir les récupérer en cas d’urgence.
  • Utilisez une bonne solution de sécurité pour être certain qu’aucun ransomware ne puisse infecter votre ordinateur.

Ces quelques actions devraient vous éviter de rencontrer personnellement GandCrab. Si votre ordinateur a déjà été infecté par GandCrab, vous pouvez quand même limiter les dégâts :

  • Vous allez peut-être pouvoir récupérer gratuitement vos fichiers. Cherchez l’outil de déchiffrement sur le site Internet du projet No More Ransom. Certaines versions du ransomware GandCrab ont des failles qui permettent le déchiffrement. Ce n’est malheureusement pas le cas de toutes les versions.
  • Installez un antivirus de confiance pour supprimer le ransomware de votre appareil avant de télécharger et de lancer l’outil de déchiffrement, sinon le malware va continuer de verrouiller votre système, ou de chiffrer vos fichiers.