Le ransomware Syrk se cache dans les pack de triche Fortnite

27 Août 2019

Les cybercriminels essaient de tirer profit de tout ce que le public aime, y compris les jeux populaires. Les logiciels malveillants se font souvent passer pour des copies illicites ou des versions mobiles d’un jeu, en particulier si ce dernier n’est pas encore sorti officiellement.

Récemment, un ransomware de chiffrement nommé Syrk a fait son apparition. En se faisant passer pour un pack de triche pour Fortnite, un jeu qui en deux ans s’est construit une communauté comptant plus de 250 millions d’utilisateurs, Syrk promet aux joueurs deux méthodes de triches en un pack : aimbot (un outil d’aide à la visée) et WH (ou encore ESP, qui permet de localiser les joueurs dans le jeu). Mais ce que fait vraiment ce pack, c’est chiffrer les fichiers des victimes et leur demander une rançon.

Ransomware se faisant passer pour des packs de triche Fortnite

Comment le ransomware Syrk fonctionne

D’après les chercheurs de la société Cyren, Syrk n’est qu’une copie intacte de l’open-source du ransomware. Une fois exécuté, le logiciel se connecte à un serveur de contrôle et de commandement et désactive les programmes suivants :

  • Windows Defender,
  • UAC (le système qui demande la permission aux utilisateurs pour les actions d’administrateur),
  • Les applications de contrôle du processus qui peuvent être utilisées pour détecter des infections, comme Task Manager, Process Monitor ou Process Hacker.

Le chiffreur s’ajoute lui-même à la liste de chargements automatique, pour que l’utilisateur ne puisse pas s’en débarrasser en redémarrant simplement l’appareil. Si une clé USB est connectée à l’ordinateur, Syrk tentera de l’infecter également.

Le logiciel malveillant se met alors à localiser et à chiffrer les fichiers médias, documents textes, feuilles de calcul et diaporamas, archives ZIP et RAR, ainsi que les fichiers Photoshop et Microsoft Visual Studio. Il leur ajoute l’extension .SYRK comme par magie.

L’écran affiche alors une demande de rançon qu’il n’est pas possible de fermer.

Le texte avec le masque de Guy Fawkes en fond dit que la seule façon de récupérer les fichiers est de contacter les criminels par mail et de les payer. La victime a alors un délai pour le faire : Syrk déclare que toutes les deux heures il supprime des fichiers chiffrés, en commençant par les dossiers photos, puis le bureau et enfin les documents de l’utilisateur.

Récupérer vos fichiers gratuitement

La bonne nouvelle, c’est que vous n’avez pas à payer la rançon, et ce même si Syrk a réussi à s’introduire dans votre ordinateur et à chiffrer vos documents. En fait, sa version actuelle stocke la clé nécessaire au déchiffrage des fichiers sur la machine infectée. Cette clé se trouve dans le dossier C:\Users\Default\AppData\Local\Microsoft\, dans un fichier appelé -pw+.txt ou +dp-.txt.

Pour récupérer vos fichiers :

  • Copiez la clé.
  • Sur la fenêtre de demande de rançon, cliquez sur Montrer mon identifiant pour ouvrir une page qui vous montrera votre identifiant ainsi qu’une invitation pour Entrer la clé pour Déchiffrer vos Fichiers.
  • Collez la clé dans le champ approprié et cliquez sur Déchiffrer mes Fichiers.

Le programme récupèrera les photos et documents chiffrés puis créera et exécutera deux fichiers .exe, ce qui nettoiera les restes du logiciel malveillant.

Il existe une autre alternative pour sauvegarder vos fichiers, bien qu’elle soit plus compliquée. En réalité, le logiciel possède un composant de déchiffrage qui récupérera les documents, si vous réussissez à l’extraire et à l’exécuter.

Vous protéger des ransomwares

D’après les chercheurs, il est possible de récupérer les données supprimées par Syrk, bien qu’une aide professionnelle soit nécessaire. Pour le moment, récupérer ses fichiers en utilisant une clé de stockage local fonctionne, mais les créateurs de logiciels malveillants repenseront leurs outils afin qu’ils ne puissent pas permettre aux utilisateurs de déchiffrer leurs fichiers sans avoir à payer la rançon. Comme toujours, la meilleure tactique est d’empêcher les ransomwares de vous nuire.

  • Ne téléchargez jamais de programmes dont les sources ne sont pas fiables, même s’ils vous promettent des avantages de jeu extraordinaires. Surtout s’ils vous promettent des avantages de jeu extraordinaires.
  • Sauvegardez vos fichiers et stockez-les pour qu’ils ne soient pas accessibles directement depuis votre ordinateur. Si vous utilisez des disques durs externes ou des clés USB, connectez-les seulement le temps d’effectuer la sauvegarde.
  • Installez une solution de protection fiable. Kaspersky Internet Security détecte Syrk comme un objet malveillant, ce qui signifie qu’il n’aura plus accès à vos fichiers, même si vous essayez de le télécharger ou de l’exécuter.