Ranscam se moque que vous payiez la rançon

Lorsqu’un ransomware frappe, il est tout naturel de se demander si ça vaut la peine de payer la rançon pour récupérer les fichiers, avec les risques que cela comporte. Chez Kaspersky Lab, nous vous recommandons dans tous les cas de ne pas payer la rançon. Mais en ce qui concerne le nouveau ransomware appelé Ranscam, le problème ne se pose pas : il supprime les fichiers quoi qu’il en soit.

Le site Threatpost a fait un compte rendu sur le nouveau malware, indiquant qu’à la différence des derniers ransomwares aux compétences stupéfiantes, Ranscam semble être paresseux et pas spécialement compétent. Tel un marteau parmi des scalpels.

Malheureusement, un marteau est un outil très destructeur. Tandis que les ransomwares sophistiqués visent à détourner de l’argent aux victimes, soi-disant pour restaurer les documents ou les systèmes de fichiers qu’ils ont chiffrés durant l’attaque, Ranscam quant à lui n’est qu’une arnaque.

De quelle façon Ranscam fonctionne-t-il ?

La première chose sur laquelle les utilisateurs tombent après une infection de malware sur leur système, est une demande de rançon. Elle ressemble à n’importe quelle autre rançon de ransomware, mais avec tout de même une différence au premier abord sans importance. Au lieu de diriger les utilisateurs vers un serveur externe où ils sont censés valider le paiement de la rançon, la demande affiche un bouton sur lequel cliquer : « J’ai effectué le paiement, veuillez valider. »

En réalité, la différence est très significative. Dès lors qu’un utilisateur clique sur le bouton, un message apparaît en disant que le paiement n’a pas été validé et qu’un fichier sera supprimé à chaque fois que l’utilisateur cliquera sur le bouton dans le cas où il ne paierait pas les cybercriminels à l’origine du Ranscam. Cette tactique est censée agacer les utilisateurs et les persuader de payer plusieurs fois.

En fait, ce n’est que du bluff. Une mauvaise nouvelle pour les victimes. Le ransomware affirme qu’il déplace les fichiers de l’utilisateur vers une « partition chiffrée, cachée », mais en réalité, il les supprime avant même de montrer le message de la rançon. Donc pas moyen de les récupérer.

Comme les chercheurs en renseignements de sécurité de Cisco Talos et le groupe de recherche l’ont expliqué, en détruisant uniquement les fichiers, les cybercriminels n’ont pas besoin d’apprendre toutes les subtilités du chiffrement et du verrouillage.

A ce stade, Ranscam n’a été associé à aucune attaque majeure. Il s’agit juste d’un rappel concernant le paiement de la rançon qui est inutile (pour ne pas dire que payer renforce l’idée des hackers sur le fait que les ransomwares sont une bonne tactique pour gagner de l’argent).

Il n’existe pas de façon de récupérer les fichiers supprimés par Ranscam ; la seule manière de se protéger est d’être proactif. C’est la raison pour laquelle nous vous recommandons quelques conseils simples :

1. N’ouvrez pas de pièces jointes ou de fichiers douteux. On en sait peu sur la propagation de Ranscam, mais les suspects habituels sont les pièces jointes dans les e-mails, les sites web piratés ou malveillants. Si vous n’êtes pas sûr à 100%, ne cliquez pas dessus.
2. Sauvegardez vos données régulièrement et stockez les sauvegardes sur un dispositif de stockage hors-ligne. Si jamais un ransomware chiffre ou supprime vos fichiers, vous avez toujours vos copies pour vous sauver.
3. Utilisez une solution de sécurité efficace. Kaspersky Internet Security détecte Ranscam comme étant le Trojan-Ransom.MSIL.Agent. Il ne laisse aucune chance au ransomware d’infecter vos fichiers.