{"id":10830,"date":"2018-08-15T10:44:12","date_gmt":"2018-08-15T10:44:12","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10830"},"modified":"2019-11-22T08:57:14","modified_gmt":"2019-11-22T08:57:14","slug":"keypass-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/keypass-ransomware\/10830\/","title":{"rendered":"KeyPass : un ransomware affam\u00e9"},"content":{"rendered":"

Nous avons r\u00e9cemment publi\u00e9 un article qui expliquait comment le t\u00e9l\u00e9chargement d\u2019un livre ou d\u2019un module de jeu pouvait \u00eatre nuisible<\/a>. Nous avons observ\u00e9 un nouveau cas au cours des derniers jours\u00a0: le ransomware<\/a> KeyPass utilise cette technique pour se propager. Vous t\u00e9l\u00e9chargez un programme d\u2019installation qui semble inoffensif, et celui-ci installe ensuite le malware sur votre ordinateur.<\/p>\n

Le ransomware KeyPass<\/a> infecte n\u2019importe quel appareil. Il touche les ordinateurs du monde entier, sans aucune pr\u00e9f\u00e9rence politique ou ethnique. En seulement 36 heures, entre le 8 ao\u00fbt au soir et le 10 ao\u00fbt, ce ransomware est apparu dans plus de 20 pays. Au moment o\u00f9 nous \u00e9crivons cet article, le Br\u00e9sil et le Vietnam \u00e9taient les plus affect\u00e9s\u00a0; ce ransomware a aussi fait des victimes en Europe et en Afrique, et il continue de conqu\u00e9rir la plan\u00e8te.<\/p>\n

Aucune restriction, il chiffre tous les fichiers<\/strong><\/h3>\n

KeyPass n\u2019est pas tr\u00e8s regardant lorsqu\u2019il choisit les fichiers qu\u2019il prend en otage. Plusieurs cat\u00e9gories de ransomwares chassent les documents en cherchant des extensions sp\u00e9cifiques, mais celui-ci ne laisse que quelques fichiers de c\u00f4t\u00e9. Tout le contenu gard\u00e9 sur l\u2019ordinateur devient incompr\u00e9hensible \u00e0 cause de l\u2019extension .keypass. En r\u00e9alit\u00e9, ce ransomware ne chiffre pas les fichiers dans leur totalit\u00e9 puisqu\u2019il se contente des 5 premiers m\u00e9gabytes\u00a0; une pi\u00e8tre consolation.<\/p>\n

Lorsque les r\u00e9pertoires ont \u00e9t\u00e9 \u00a0\u00bb\u00a0trait\u00e9s\u00a0\u00ab\u00a0, le malware laisse une note en format TXT o\u00f9 ses cr\u00e9ateurs demandent \u00e0 la victime, dans un anglais plut\u00f4t mauvais, d\u2019acheter un programme et une cl\u00e9 individuelle pour r\u00e9cup\u00e9rer les fichiers. Pour convaincre les victimes qu\u2019elles ne vont pas gaspiller leur argent, les cybercriminels les invitent \u00e0 leur envoyer entre 1 et 3 fichiers qu\u2019ils vont d\u00e9chiffrer gratuitement.<\/p>\n

\"\"<\/p>\n

Les pirates informatiques exigent 300 $ pour renvoyer les fichiers, et avertissent la victime que ce prix n\u2019est valable que pendant les 72 heures qui suivent l\u2019infection. Si vous souhaitez obtenir plus d\u2019informations sur la proc\u00e9dure \u00e0 suivre pour r\u00e9cup\u00e9rer vos fichiers, vous \u00eates cens\u00e9 envoyer un message avec votre identit\u00e9 \u00e0 une des deux adresses e-mails fournies par les escrocs, comme indiqu\u00e9 dans la note. Cependant, nous vous recommandons de ne pas payer la ran\u00e7on<\/a>.<\/p>\n

Une \u00e9trange caract\u00e9ristique de KeyPass est que si l\u2019ordinateur n\u2019est pas connect\u00e9 \u00e0 Internet lorsque le malware commence \u00e0 travailler, alors il ne peut pas r\u00e9cup\u00e9rer la cl\u00e9 de chiffrement personnelle du serveur C&C. Dans ce cas, il utilise une cl\u00e9 cod\u00e9e en dur, ce qui signifie que les fichiers peuvent \u00eatre d\u00e9chiffr\u00e9s sans aucun souci\u00a0; la cl\u00e9 est d\u00e9j\u00e0 entre vos mains. Malheureusement, dans d\u2019autres cas, les choses ne sont pas aussi faciles\u00a0: malgr\u00e9 une ex\u00e9cution qui semble assez simple, les cybercriminels ne commettent pas d\u2019erreur en mati\u00e8re de chiffrement.<\/p>\n

Dans les cas que nous avons observ\u00e9, le malware a agi automatiquement, mais ses cr\u00e9ateurs ont aussi pr\u00e9vu la possibilit\u00e9 de le contr\u00f4ler manuellement. Il est \u00e9vident qu\u2019ils comptent distribuer KeyPass manuellement, et qu\u2019ils envisagent donc de l\u2019utiliser pour des attaques cibl\u00e9es. Si les cybercriminels arrivent \u00e0 se connecter \u00e0 l\u2019ordinateur de la victime \u00e0 distance et \u00e0 t\u00e9l\u00e9charger le ransomware, alors en appuyant sur une touche ils vont faire appara\u00eetre un formulaire qui va leur permettre de modifier les param\u00e8tres du chiffrement, dont la liste des fichiers que KeyPass peut ignorer, ainsi que le texte pour demander la ran\u00e7on et la cl\u00e9 priv\u00e9e.<\/p>\n

Comment prot\u00e9ger votre ordinateur du ransomware KeyPass<\/strong><\/h3>\n

Il faut encore d\u00e9velopper un outil qui permette de d\u00e9chiffrer les fichiers infect\u00e9s par KeyPass. Par cons\u00e9quent, la seule fa\u00e7on de prot\u00e9ger vos donn\u00e9es, est d\u2019emp\u00eacher l\u2019infection de mani\u00e8re proactive. En effet, il vaut mieux \u00eatre prudent que d\u00e9sol\u00e9. Vous passerez beaucoup plus de temps et d\u2019\u00e9nergie \u00e0 essayer de r\u00e9soudre les cons\u00e9quences de vos n\u00e9gligences que si vous vous prot\u00e9gez d\u00e8s le d\u00e9but. Par cons\u00e9quent, nous vous recommandons de suivre quelques conseils qui vont vous permettre de vous prot\u00e9ger efficacement contre KeyPass, et contre n\u2019importe quel autre ransomware\u00a0:<\/p>\n