{"id":11467,"date":"2019-03-07T14:20:42","date_gmt":"2019-03-07T14:20:42","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11467"},"modified":"2019-11-22T08:53:54","modified_gmt":"2019-11-22T08:53:54","slug":"gandcrab-ransomware-is-back","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/gandcrab-ransomware-is-back\/11467\/","title":{"rendered":"GandCrab, le malware d’extorsion pornographique est de retour"},"content":{"rendered":"

\u00ab\u00a0Nous avons pirat\u00e9 votre webcam, et nous vous avons surpris en train de regarder des vid\u00e9os pornographiques. Nous avons chiffr\u00e9 vos donn\u00e9es, et maintenant vous devez nous payer une ran\u00e7on.\u00a0\u00bb Vous vous souvenez peut-\u00eatre qu\u2019une m\u00e9thode de chantage<\/a> similaire a connu un succ\u00e8s ph\u00e9nom\u00e9nal l\u2019an dernier. Il semblerait que les rumeurs, qui disent que le ransomware<\/a> derri\u00e8re cette escroquerie est en train de dispara\u00eetre, soient inexactes.<\/p>\n

Le ransomware<\/strong> GandCrab <\/strong>est de retour, et plus actif que jamais. Ses d\u00e9veloppeurs ne cessent de lancer de nouvelles versions pour ne pas perdre la part de march\u00e9 actuellement d\u00e9tenue<\/a>, et qu\u2019ils ont si durement gagn\u00e9e\u00a0: pr\u00e8s de 40 % de l\u2019ensemble du march\u00e9 des ransomwares. Les cybercriminels qui louent et r\u00e9pandent GandCrab se maintiennent inform\u00e9s, choisissent la diversification et la cr\u00e9ativit\u00e9, et utilisent parfois des m\u00e9thodes romantiques pour infecter les victimes.<\/p>\n

Un<\/strong> ransomware pour les sentimentaux<\/strong><\/p>\n

Si l\u2019objet du message est une d\u00e9claration d\u2019amour, alors il pourrait attirer votre attention, mais les phrases comme \u00ab\u00a0Je t\u2019ai \u00e9crit une lettre d\u2019amour\u00a0\u00bb, \u00ab\u00a0Je t\u2019aime\u00a0\u00bb, ou \u00ab\u00a0Je tenais \u00e0 te dire ce que je ressens pour toi\u00a0\u00bb annoncent en r\u00e9alit\u00e9 une \u00e9ventuelle catastrophe. Ce genre de message ne va peut-\u00eatre pas \u00e9veiller vos soup\u00e7ons si vous le recevez \u00e0 la Saint-Valentin, \u00e0 No\u00ebl, au Nouvel An, pour votre anniversaire, ou m\u00eame lorsque vous passez un lundi d\u00e9primant au travail. Il s\u2019agit, en apparence, d\u2019un e-mail quelconque, mais vous devez faire particuli\u00e8rement attention dans ce cas.<\/p>\n

La version la plus courante d\u2019un e-mail malveillant, qui circule en ce moment, a une phrase romantique comme objet, un c\u0153ur dans le message, et une pi\u00e8ce jointe qui s\u2019av\u00e8re \u00eatre un fichier ZIP g\u00e9n\u00e9ralement intitul\u00e9 Love_You suivi de plusieurs chiffres. Si vous d\u00e9cidez d\u2019extraire le fichier JavaScript et de l\u2019ex\u00e9cuter, alors vous allez t\u00e9l\u00e9charger le ransomware GandCrab.<\/p>\n

Vous serez ensuite redirig\u00e9 vers une note qui vous explique que toutes les donn\u00e9es de votre ordinateur ont \u00e9t\u00e9 chiffr\u00e9es, et que vous devez payer une ran\u00e7on, g\u00e9n\u00e9ralement en bitcoins, pour les r\u00e9cup\u00e9rer. Si vous n\u2019avez jamais utilis\u00e9 de crypto-monnaie, le groupe qui a organis\u00e9 l\u2019attaque vous propose d\u2019utiliser la fen\u00eatre de conversation en direct, pour que les escrocs puissent vous expliquer comment obtenir la somme n\u00e9cessaire, et payer la ran\u00e7on.<\/p>\n

Un ransomware pour les entreprises<\/strong><\/p>\n

Un patch avait \u00e9t\u00e9 lanc\u00e9 en 2017 pour corriger la vuln\u00e9rabilit\u00e9 d\u2019un outil utilis\u00e9 pour synchroniser les donn\u00e9es entre deux syst\u00e8mes de gestion d\u2019entreprises informatiques. Tout le monde n\u2019a pas install\u00e9 cette correction. En 2019, GandCrab s\u2019attaque aux personnes qui ne l\u2019ont pas fait, et chiffre tous les ordinateurs qu\u2019il peut atteindre.<\/p>\n

Cette faille de s\u00e9curit\u00e9 permet aux malfaiteurs de cr\u00e9er de nouveaux comptes administrateur, pour ensuite lancer des commandes permettant d\u2019installer le ransomware sur les points de terminaison g\u00e9r\u00e9s. En d\u2019autres termes, ils chiffrent les machines des clients de l\u2019entreprise vis\u00e9e, et demandent une ran\u00e7on (toujours en crypto-monnaie).<\/p>\n

Un ransomware pour les alarmistes responsables (tout le monde<\/strong>)<\/strong><\/p>\n

Combien d\u2019entre nous ouvrirait la pi\u00e8ce jointe d\u2019un e-mail si on nous disait qu\u2019il s\u2019agit du nouveau plan des issues de secours du b\u00e2timent o\u00f9 vous travaillez\u00a0? M\u00eame si l\u2019adresse e-mail nous est parfaitement inconnue\u00a0? Il est fort probable que nous l\u2019ouvrions tous. Au bout du compte, nous ne nous souvenons pas du nom de tous les responsables de s\u00e9curit\u00e9.<\/p>\n

Les escrocs ont commenc\u00e9 \u00e0 profiter de cette situation<\/a>, et ont envoy\u00e9 des e-mails malveillants qui contenaient un fichier Word. Les personnes qui ouvrent le fichier ne voit que le titre \u00ab\u00a0Plan des issues de secours\u00a0\u00bb, et le bouton Autoriser le contenu<\/em>. Vous allez installer le ransomware GandCrab si vous cliquez sur le bouton.<\/p>\n

Un ransomware pour les payeur<\/strong>s<\/strong><\/p>\n

Une autre m\u00e9thode consiste \u00e0 utiliser un e-mail qui ressemble \u00e0 une facture, ou \u00e0 une confirmation de paiement disponible, que vous pouvez t\u00e9l\u00e9charger depuis WeTransfer. Le lien vous dirige vers un fichier ZIP, ou RAR, et un mot de passe pour pouvoir l\u2019ouvrir. Devinez ce que l\u2019archive contient.<\/p>\n

Un ransomware pour les italiens<\/strong><\/p>\n

Une autre version se sert d\u2019un bon de paiement qui se pr\u00e9sente sous la forme d\u2019un fichier Excel. Essayez de l\u2019ouvrir, et une bo\u00eete de dialogue de fichier va vous dire qu\u2019il est impossible de visualiser le fichier en ligne, et que vous devez cliquer sur Autoriser les modifications<\/em> et Autoriser le contenu<\/em> pour pouvoir le consulter.<\/p>\n

Bizarrement, cette attaque ne cible que les italiens<\/a>, du moins pour le moment. En cliquant sur les boutons indiqu\u00e9s, vous autorisez un script \u00e0 v\u00e9rifier si votre ordinateur se trouve en Italie, et le r\u00e9sultat repose sur la langue administrative du syst\u00e8me d\u2019exploitation.<\/p>\n

Si ce n\u2019est pas le cas, alors rien ne se passe. Mais s\u2019il s\u2019av\u00e8re que vous \u00eates en Italie, vous allez conna\u00eetre le sens de l\u2019humour du cybercriminel, puisqu\u2019il affiche une image de Mario. Vous savez, celui de Super Mario Bros.<\/p>\n

\"\"

Cette image de Mario contient un code malveillant qui t\u00e9l\u00e9charge le malware<\/p><\/div>\n

\u00a0<\/p>\n

L\u2019image, qui se t\u00e9l\u00e9charge lorsque vous cliquez pour voir le contenu du fichier, contient un code PowerShell malveillant qui lance le t\u00e9l\u00e9chargement du malware. Pour le moment, les chercheurs ne sont pas d\u2019accord, et ne peuvent pas dire de quel malware il s\u2019agit\u00a0: GandCrab<\/a>, qui chiffre vos donn\u00e9es, ou Ursnif<\/a>, qui vole<\/a> les identifiants de votre compte bancaire en ligne. Pour tout vous dire, la diff\u00e9rence est minime. Ce qui est important ici c\u2019est la m\u00e9thode de distribution, m\u00eame si ces malwares ne cessent d\u2019\u00e9voluer.<\/p>\n

Dites non au <\/strong>crabe gourmand<\/strong><\/p>\n

De nombreuses personnes propagent GandCrab. Il s\u2019agit d\u2019un ransomware-as-a-service, d\u00e9velopp\u00e9 par une \u00e9quipe de malfaiteurs, et lou\u00e9 \u00e0 d\u2019autres escrocs qui essaient de chiffrer un maximum de cibles. Malgr\u00e9 quelques diff\u00e9rences dans la m\u00e9thode de distribution, vous pouvez vous prot\u00e9ger des pinces gourmandes de GandCrab en adoptant de meilleures habitudes, et en suivant ces quelques conseils\u00a0:<\/p>\n