Catégories
Attaque Etude informatique Ransomware

DJVU/stop : faux déchiffrement, vrai ransomware


Une application masquée comme un décryptage de ransomware DJVU / STOP a été identifiée par un chercheur en sécurité. Cela crypte les données des victimes qui pensaient avoir trouvé une solution à leur problème.

Face à une attaque de ransomware, le remède peut parfois s’avérer pire que la maladie. Ainsi, un chercheur en sécurité a rapporté la semaine dernière un nouveau programme malveillant se faisant passer pour un décrypteur de ransomware DJVU / STOP, un ransomware très actif, et destiné aux particuliers. Michael Gillespie, chercheur indépendant en sécurité spécialisé dans la lutte contre les ransomwares, a attiré l’attention sur les malwares dans un tweet à la fin de la semaine dernière. Ce programme malveillant, appelé Zorab, se présente sous la forme d’un décrypteur: un type de programme qui exploite les erreurs logicielles dans la conception d’un ransomware pour décrypter les fichiers de la victime sans que la victime ait besoin de récupérer la clé de cryptage pour les attaquants.

Zorab ne vous sortira pas de l’affaire, au contraire: le chercheur explique qu’il crypte les données de la victime une seconde fois, et met sur l’ordinateur une note demandant à l’utilisateur de payer une rançon pour décrypter les fichiers en question. Pour la victime, il s’agit donc d’une double peine: il a dû payer une première fois pour décrypter les données rendues indisponibles par le ransomware Zorab, puis une deuxième fois pour décrypter le cryptage DJVU / STOP. Le groupe derrière DJVU / STOP attire moins d’attention que des acteurs malveillants comme Maze ou Dopplepaymer, mais ce ransomware est l’un des plus actifs aujourd’hui. Selon Emisoft, fin 2019, Stop / DJVU représentait plus de 56% des fichiers téléchargés sur la plateforme ID Ransomware, se plaçant en tête du classement. Comme l’explique Bleeping Computer, les opérateurs de ce ransomware sont plus susceptibles d’attaquer des individus et de demander des montants entre 500 $ et 1000 $ pour obtenir la clé de déchiffrement.

Double peine
Les cybercriminels derrière Zorab ont soigneusement choisi leurs cibles: plusieurs déchiffreurs sont en fait proposés par des sociétés de sécurité pour déchiffrer les fichiers chiffrés par les anciennes versions du rançongiciel DJVU / STOP. En mars, Emsisoft a publié plusieurs décrypteurs pour aider les victimes de cette rançon. Mais le jeu du chat et de la souris dure depuis des mois: lorsque les éditeurs publient un décryptage, les auteurs du ransomware distribuent une nouvelle version de leur ransomware. Dans cette jungle, il est donc facile pour un tiers de profiter de la multiplication des décrypteurs pour distribuer son propre ransomware en le transmettant comme un outil de déverrouillage de fichier.

Pour obtenir des outils de décryptage, il vaut mieux être prudent: nous pouvons recommander l’initiative NoMoreRansom mise en œuvre par Europol et plusieurs sociétés antivirus pour centraliser les outils de décryptage et anti-ransomware. Vous pouvez également accéder directement aux sites Web officiels d’éditeurs antivirus connus, tels que Kaspersky ou Emsisoft. Des décrypteurs pour les anciennes versions de DJVU / STOP sont disponibles, mais des analyses sont toujours en cours pour développer des outils similaires pour Zorab. Bien sûr, la meilleure solution est d’avoir des sauvegardes mises à jour, mais c’est souvent plus facile à dire qu’à faire.

LIEN

Laisser un commentaire