{"id":19837,"date":"2022-12-08T12:48:38","date_gmt":"2022-12-08T10:48:38","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19837"},"modified":"2022-12-08T12:50:02","modified_gmt":"2022-12-08T10:50:02","slug":"crywiper-pseudo-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/crywiper-pseudo-ransomware\/19837\/","title":{"rendered":"CryWiper : un faux ran\u00e7ongiciel"},"content":{"rendered":"

Nos experts ont d\u00e9couvert l\u2019attaque d\u2019un nouveau cheval de Troie qu\u2019ils ont baptis\u00e9 CryWiper. \u00c0 premi\u00e8re vue, ce programme malveillant ressemble \u00e0 un ran\u00e7ongiciel (ransomware)\u00a0: il modifie les fichiers, leur ajoute une extension et sauvegarde un fichier README.txt avec une demande de ran\u00e7on qui contient l\u2019adresse du portefeuille Bitcoin, l\u2019adresse e-mail des cr\u00e9ateurs afin de les contacter et l\u2019identifiant de l\u2019infection. Pourtant, ce programme malveillant est en r\u00e9alit\u00e9 un wiper\u00a0<\/a>: un fichier modifi\u00e9 par CryWiper ne peut pas \u00eatre restaur\u00e9 \u00e0 son \u00e9tat d\u2019origine. Si vous voyez une demande de ran\u00e7on et que vos fichiers ont une nouvelle extension .CRY, ne payez pas. C\u2019est inutile.<\/p>\n

Par le pass\u00e9, nous avons vu comment certaines souches de programmes malveillants devenaient un wiper par accident, et \u00e0 cause d\u2019erreurs commises par leurs cr\u00e9ateurs qui avaient mal int\u00e9gr\u00e9 les algorithmes de chiffrement. Pourtant, cette fois ce n\u2019est pas le cas\u00a0: nos experts sont convaincus que l\u2019objectif principal des cybercriminels n\u2019est pas l\u2019app\u00e2t du gain mais la destruction des donn\u00e9es. Les fichiers ne sont pas vraiment chiffr\u00e9s. Le cheval de Troie les \u00e9crase avec des donn\u00e9es g\u00e9n\u00e9r\u00e9es de fa\u00e7on soi-disant al\u00e9atoire.<\/p>\n

Les cibles de CryWiper<\/h2>\n

Le cheval de Troie corrompt toutes les donn\u00e9es qui ne sont pas n\u00e9cessaires au bon fonctionnement du syst\u00e8me d\u2019exploitation. Il n\u2019affecte pas les fichiers qui ont les extensions .exe, .dll. .lnk, .sys, ou .msi et ignore plusieurs dossiers syst\u00e8me du r\u00e9pertoire C:\\Windows. Le programme malveillant se concentre sur les bases de donn\u00e9es, les archives et les documents de l\u2019utilisateur.<\/p>\n

Jusqu\u2019\u00e0 pr\u00e9sent, nos experts n\u2019ont identifi\u00e9 que des attaques qui ciblent la Russie. Pourtant, comme d\u2019habitude, personne ne peut garantir que ce m\u00eame code ne sera pas utilis\u00e9 pour s\u2019en prendre \u00e0 d\u2019autres cibles.<\/p>\n

Le fonctionnement du cheval de Troie CryWiper<\/h2>\n

En plus de directement \u00e9craser le contenu des fichiers pour les rendre inutilisables, CryWiper effectue aussi les t\u00e2ches suivantes\u00a0:<\/p>\n