{"id":12156,"date":"2019-08-27T10:20:57","date_gmt":"2019-08-27T10:20:57","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12156"},"modified":"2019-11-22T08:47:42","modified_gmt":"2019-11-22T08:47:42","slug":"ransomware-in-fortnite-cheats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ransomware-in-fortnite-cheats\/12156\/","title":{"rendered":"Le ransomware Syrk se cache dans les pack de triche Fortnite"},"content":{"rendered":"<p>Les cybercriminels essaient de tirer profit de tout ce que le public aime, y compris les jeux populaires. Les logiciels malveillants se font souvent passer pour des <a href=\"https:\/\/www.kaspersky.com\/blog\/how-pirates-hook-gamers\/25634\/\" target=\"_blank\" rel=\"noopener nofollow\">copies illicites<\/a> ou des <a href=\"https:\/\/www.kaspersky.fr\/blog\/fortnite-security\/10882\/\" target=\"_blank\" rel=\"noopener\">versions mobiles<\/a> d\u2019un jeu, en particulier si ce dernier <a href=\"https:\/\/www.kaspersky.fr\/blog\/apex-legends-mobile-fakes\/11459\/\" target=\"_blank\" rel=\"noopener\">n\u2019est pas encore sorti officiellement<\/a>.<\/p>\n<p>R\u00e9cemment, un ransomware de chiffrement nomm\u00e9 Syrk a fait son apparition.<a href=\"https:\/\/threatpost.com\/fortnite-ransomware-masquerades-as-an-aimbot-game-hack\/147549\/\" target=\"_blank\" rel=\"noopener nofollow\"> En se faisant passer pour un pack de triche<\/a> pour Fortnite, un jeu qui en deux ans s\u2019est construit une communaut\u00e9 comptant plus de 250 millions d\u2019utilisateurs, Syrk promet aux joueurs deux m\u00e9thodes de triches en un pack\u00a0: aimbot (un outil d\u2019aide \u00e0 la vis\u00e9e) et WH (ou encore ESP, qui permet de localiser les joueurs dans le jeu). Mais ce que fait vraiment ce pack, c\u2019est chiffrer les fichiers des victimes et leur demander une ran\u00e7on.<\/p>\n<h2>Comment le ransomware Syrk fonctionne<\/h2>\n<p>D\u2019apr\u00e8s les chercheurs de la soci\u00e9t\u00e9 Cyren, Syrk n\u2019est qu\u2019une copie intacte de l\u2019open-source du ransomware. Une fois ex\u00e9cut\u00e9, le logiciel se connecte \u00e0 un serveur de contr\u00f4le et de commandement et d\u00e9sactive les programmes suivants\u00a0:<\/p>\n<ul>\n<li>Windows Defender,<\/li>\n<li>UAC (le syst\u00e8me qui demande la permission aux utilisateurs pour les actions d\u2019administrateur),<\/li>\n<li>Les applications de contr\u00f4le du processus qui peuvent \u00eatre utilis\u00e9es pour d\u00e9tecter des infections, comme Task Manager, Process Monitor ou Process Hacker.<\/li>\n<\/ul>\n<p>Le chiffreur s\u2019ajoute lui-m\u00eame \u00e0 la liste de chargements automatique, pour que l\u2019utilisateur ne puisse pas s\u2019en d\u00e9barrasser en red\u00e9marrant simplement l\u2019appareil. Si une cl\u00e9 USB est connect\u00e9e \u00e0 l\u2019ordinateur, Syrk tentera de l\u2019infecter \u00e9galement.<\/p>\n<p>Le logiciel malveillant se met alors \u00e0 localiser et \u00e0 chiffrer les fichiers m\u00e9dias, documents textes, feuilles de calcul et diaporamas, archives ZIP et RAR, ainsi que les fichiers Photoshop et Microsoft Visual Studio. Il leur ajoute l\u2019extension .SYRK comme par magie.<\/p>\n<p>L\u2019\u00e9cran affiche alors une demande de ran\u00e7on qu\u2019il n\u2019est pas possible de fermer.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Syrk Ransomware seems inspired by a Fortnite Hacktool, terminates task manager, process hacker, really good at being persistent and annoying. Does encrypt but might still be in development. 30\/67 in VT<a href=\"https:\/\/t.co\/x7Y6Tz4NB1\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/x7Y6Tz4NB1<\/a> <a href=\"https:\/\/t.co\/6e9wI8XTQR\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/6e9wI8XTQR<\/a><\/p>\n<p>\u2014 Leo (@leotpsc) <a href=\"https:\/\/twitter.com\/leotpsc\/status\/1156875558174769152?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 1, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Le texte avec le masque de Guy Fawkes en fond dit que la seule fa\u00e7on de r\u00e9cup\u00e9rer les fichiers est de contacter les criminels par mail et de les payer. La victime a alors un d\u00e9lai pour le faire : Syrk d\u00e9clare que toutes les deux heures il supprime des fichiers chiffr\u00e9s, en commen\u00e7ant par les dossiers photos, puis le bureau et enfin les documents de l\u2019utilisateur.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n<h3>R\u00e9cup\u00e9rer vos fichiers gratuitement<\/h3>\n<p>La bonne nouvelle, c\u2019est que vous n\u2019avez pas \u00e0 payer la ran\u00e7on, et ce m\u00eame si Syrk a r\u00e9ussi \u00e0 s\u2019introduire dans votre ordinateur et \u00e0 chiffrer vos documents. En fait, sa version actuelle stocke la cl\u00e9 n\u00e9cessaire au d\u00e9chiffrage des fichiers sur la machine infect\u00e9e. Cette cl\u00e9 se trouve dans le dossier C:UsersDefaultAppDataLocalMicrosoft, dans un fichier appel\u00e9 -pw+.txt ou +dp-.txt.<\/p>\n<p>Pour r\u00e9cup\u00e9rer vos fichiers :<\/p>\n<ul>\n<li>Copiez la cl\u00e9.<\/li>\n<li>Sur la fen\u00eatre de demande de ran\u00e7on, cliquez sur <em>Montrer mon identifiant<\/em> pour ouvrir une page qui vous montrera votre identifiant ainsi qu\u2019une invitation pour <em>Entrer la cl\u00e9 pour D\u00e9chiffrer vos Fichiers<\/em>.<\/li>\n<li>Collez la cl\u00e9 dans le champ appropri\u00e9 et cliquez sur <em>D\u00e9chiffrer mes Fichiers<\/em>.<\/li>\n<\/ul>\n<p>Le programme r\u00e9cup\u00e8rera les photos et documents chiffr\u00e9s puis cr\u00e9era et ex\u00e9cutera deux fichiers .exe, ce qui nettoiera les restes du logiciel malveillant.<\/p>\n<p>Il existe une autre alternative pour sauvegarder vos fichiers, bien qu\u2019elle soit plus compliqu\u00e9e. En r\u00e9alit\u00e9, le logiciel poss\u00e8de un composant de d\u00e9chiffrage qui r\u00e9cup\u00e9rera les documents, si vous r\u00e9ussissez \u00e0 l\u2019extraire et \u00e0 l\u2019ex\u00e9cuter.<\/p>\n<h3>Vous prot\u00e9ger des ransomwares<\/h3>\n<p>D\u2019apr\u00e8s les chercheurs, il est possible de r\u00e9cup\u00e9rer les donn\u00e9es supprim\u00e9es par Syrk, bien qu\u2019une aide professionnelle soit n\u00e9cessaire. Pour le moment, r\u00e9cup\u00e9rer ses fichiers en utilisant une cl\u00e9 de stockage local fonctionne, mais les cr\u00e9ateurs de logiciels malveillants repenseront leurs outils afin qu\u2019ils ne puissent pas permettre aux utilisateurs de d\u00e9chiffrer leurs fichiers sans avoir \u00e0 payer la ran\u00e7on. Comme toujours, la meilleure tactique est d\u2019emp\u00eacher les ransomwares de vous nuire.<\/p>\n<ul>\n<li>Ne t\u00e9l\u00e9chargez jamais de programmes dont les sources ne sont pas fiables, m\u00eame s\u2019ils vous promettent des avantages de jeu extraordinaires. <em>Surtout <\/em>s\u2019ils vous promettent des avantages de jeu extraordinaires.<\/li>\n<li>Sauvegardez vos fichiers et stockez-les pour qu\u2019ils ne soient pas accessibles directement depuis votre ordinateur. Si vous utilisez des disques durs externes ou des cl\u00e9s USB, connectez-les seulement le temps d\u2019effectuer la sauvegarde.<\/li>\n<li>Installez une solution de protection fiable. <a href=\"https:\/\/app.appsflyer.com\/id1053144160?pid=smm&amp;c=fr_kdailyplaceholder\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a><strong>\u00a0<\/strong>d\u00e9tecte Syrk comme un objet malveillant, ce qui signifie qu\u2019il n\u2019aura plus acc\u00e8s \u00e0 vos fichiers, m\u00eame si vous essayez de le t\u00e9l\u00e9charger ou de l\u2019ex\u00e9cuter.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n","protected":false},"excerpt":{"rendered":"<p>Le ransomware Syrk est sorti, sous la forme de pack de triche Fortnite. D\u00e9couvrez de quoi il s\u2019agit et comment r\u00e9cup\u00e9rer vos fichiers.<\/p>\n","protected":false},"author":2484,"featured_media":12157,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[1160,3116,493,204,353,61,3641],"class_list":{"0":"post-12156","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-cryptoware","9":"tag-fortnite","10":"tag-jeux","11":"tag-menaces","12":"tag-ransomware","13":"tag-securite","14":"tag-triche"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-in-fortnite-cheats\/12156\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-in-fortnite-cheats\/16558\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/13950\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/6454\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/18497\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-in-fortnite-cheats\/16590\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/15221\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-in-fortnite-cheats\/19135\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ransomware-in-fortnite-cheats\/17850\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-in-fortnite-cheats\/23449\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-in-fortnite-cheats\/6367\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/28104\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-in-fortnite-cheats\/12265\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ransomware-in-fortnite-cheats\/11103\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-in-fortnite-cheats\/19999\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/ransomware-in-fortnite-cheats\/10155\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ransomware-in-fortnite-cheats\/23971\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ransomware-in-fortnite-cheats\/24184\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-in-fortnite-cheats\/18920\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-in-fortnite-cheats\/23267\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-in-fortnite-cheats\/23190\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/fortnite\/","name":"Fortnite"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12156","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=12156"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12156\/revisions"}],"predecessor-version":[{"id":12627,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12156\/revisions\/12627"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/12157"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=12156"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=12156"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=12156"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}