lolloj - Fotolia
Les créateurs de rançongiciels continuent de rivaliser de créativité
En l’espace de quelques jours, trois nouveaux ransonwares viennent d’émerger, rivalisant avec TeslaCrypt et Locky.
Pas question de ringardiser tout de suite un TeslaCrypt et un Locky qui continuent de sévir largement dans l’Hexagone. Mais PowerWare, Maktub et Petya n’en font pas moins la démonstration de la créativité de leurs auteurs. De quoi confirmer, au passage, que la course à la sophistication s’accélère.
Découvert par les équipes de recherche de Carbon Black, PowerWare rappelle PowerSniff, un autre logiciel malveillant sur lequel les chercheurs de Palo Alto Networks ont récent levé le voile. PowerWare met ainsi à profit l’incontournable outil d’administration PowerShell, montrant l’intérêt de ses auteurs pour le monde de l’entreprise. Le logiciel infecte initialement via un fichier Word contenant des macros utilisées pour exécuter les commandes PowerShell servant à télécharger la charge utile ransomware. Une rançon de 500 $ est initialement demandée, passant à 1000 $ au bout de deux semaines.
Dévoilé par Malwarebytes, Maktub Locker se diffuse lui-aussi via une campagne de hameçonnage, caché dans un fichier à l’extension .scr accompagné d’un fichier texte, le tout pour faire croire à un changement des conditions d’utilisation d’un service. Le rançongiciel compresse les fichiers avant de les chiffrer. Les chercheurs envisagent la possibilité d’une volonté d’accélération du processus de chiffrement.
Mais en matière de rapidité, Petya se distingue particulièrement. Découvert par G-Data, et notamment en Allemagne, ce ransomware ne perd pas de temps à chiffrer un par un des fichiers : il vise le disque dur complet et s’attaque ainsi à son Master Boot Record (MBR).
Celui-ci est modifié par Petya pour lui permettre de contrôler le démarrage de la machine compromise. Il demande alors la rançon. Mais ce logiciel malveillant, qui semble viser en particulier les services des ressources humaines, pourrait bien ne pas être si dangereux que cela – à ce stade : selon G-Data, il est probable que les fichiers du disque dur ne soient pas, en eux-mêmes, chiffrés. De quoi en simplifier la récupération. Mais ce n’est pas forcément plus rapide que la restauration d’une sauvegarde. Laquelle reste la meilleure des préventions.
