KeyPass : un ransomware affamé

15 Août 2018

Nous avons récemment publié un article qui expliquait comment le téléchargement d’un livre ou d’un module de jeu pouvait être nuisible. Nous avons observé un nouveau cas au cours des derniers jours : le ransomware KeyPass utilise cette technique pour se propager. Vous téléchargez un programme d’installation qui semble inoffensif, et celui-ci installe ensuite le malware sur votre ordinateur.

Le ransomware KeyPass infecte n’importe quel appareil. Il touche les ordinateurs du monde entier, sans aucune préférence politique ou ethnique. En seulement 36 heures, entre le 8 août au soir et le 10 août, ce ransomware est apparu dans plus de 20 pays. Au moment où nous écrivons cet article, le Brésil et le Vietnam étaient les plus affectés ; ce ransomware a aussi fait des victimes en Europe et en Afrique, et il continue de conquérir la planète.

Aucune restriction, il chiffre tous les fichiers

KeyPass n’est pas très regardant lorsqu’il choisit les fichiers qu’il prend en otage. Plusieurs catégories de ransomwares chassent les documents en cherchant des extensions spécifiques, mais celui-ci ne laisse que quelques fichiers de côté. Tout le contenu gardé sur l’ordinateur devient incompréhensible à cause de l’extension .keypass. En réalité, ce ransomware ne chiffre pas les fichiers dans leur totalité puisqu’il se contente des 5 premiers mégabytes ; une piètre consolation.

Lorsque les répertoires ont été  » traités « , le malware laisse une note en format TXT où ses créateurs demandent à la victime, dans un anglais plutôt mauvais, d’acheter un programme et une clé individuelle pour récupérer les fichiers. Pour convaincre les victimes qu’elles ne vont pas gaspiller leur argent, les cybercriminels les invitent à leur envoyer entre 1 et 3 fichiers qu’ils vont déchiffrer gratuitement.

Les pirates informatiques exigent 300 $ pour renvoyer les fichiers, et avertissent la victime que ce prix n’est valable que pendant les 72 heures qui suivent l’infection. Si vous souhaitez obtenir plus d’informations sur la procédure à suivre pour récupérer vos fichiers, vous êtes censé envoyer un message avec votre identité à une des deux adresses e-mails fournies par les escrocs, comme indiqué dans la note. Cependant, nous vous recommandons de ne pas payer la rançon.

Une étrange caractéristique de KeyPass est que si l’ordinateur n’est pas connecté à Internet lorsque le malware commence à travailler, alors il ne peut pas récupérer la clé de chiffrement personnelle du serveur C&C. Dans ce cas, il utilise une clé codée en dur, ce qui signifie que les fichiers peuvent être déchiffrés sans aucun souci ; la clé est déjà entre vos mains. Malheureusement, dans d’autres cas, les choses ne sont pas aussi faciles : malgré une exécution qui semble assez simple, les cybercriminels ne commettent pas d’erreur en matière de chiffrement.

Dans les cas que nous avons observé, le malware a agi automatiquement, mais ses créateurs ont aussi prévu la possibilité de le contrôler manuellement. Il est évident qu’ils comptent distribuer KeyPass manuellement, et qu’ils envisagent donc de l’utiliser pour des attaques ciblées. Si les cybercriminels arrivent à se connecter à l’ordinateur de la victime à distance et à télécharger le ransomware, alors en appuyant sur une touche ils vont faire apparaître un formulaire qui va leur permettre de modifier les paramètres du chiffrement, dont la liste des fichiers que KeyPass peut ignorer, ainsi que le texte pour demander la rançon et la clé privée.

Comment protéger votre ordinateur du ransomware KeyPass

Il faut encore développer un outil qui permette de déchiffrer les fichiers infectés par KeyPass. Par conséquent, la seule façon de protéger vos données, est d’empêcher l’infection de manière proactive. En effet, il vaut mieux être prudent que désolé. Vous passerez beaucoup plus de temps et d’énergie à essayer de résoudre les conséquences de vos négligences que si vous vous protégez dès le début. Par conséquent, nous vous recommandons de suivre quelques conseils qui vont vous permettre de vous protéger efficacement contre KeyPass, et contre n’importe quel autre ransomware :

  • Ne téléchargez jamais des programmes inconnus sur des sites douteux, et ne cliquez jamais sur des liens si vous avez le moindre doute. Cela va vous aider à vous tenir éloigné de presque tous les malwares qui règnent sur Internet.
  • Sauvegardez les fichiers importants. Lisez cet article pour connaître tout ce dont vous avez besoin en matière de sauvegardes.
  • Utilisez une solution de sécurité fiable qui identifie et bloque tous les programmes douteux avant qu’ils puissent endommager votre ordinateur. Par exemple, les solutions de sécurité de Kaspersky Lab ont un module anti-ransomware.