CryptoWall 4.0 prétend vous aider à améliorer votre sécurité
La tristement célèbre famille de ransomwares CryptoWall est de retour avec CryptoWall 4.0 qui prétend vouloir chiffrer des données pour tester l’aptitude des solutions antivirus à protéger vos données.
Cette fois-ci, les pirates demandent aux victimes de payer la somme de 700$ en Bitcoins (1.83 BTC).
Actif depuis avril 2014, agissant sous trois variantes connues, ‘CryptoWall‘ est à l’origine de plus d’un million d’euros de pertes par mois selon les rapports fédéraux.
Le comportement de CryptoWall 4.0
Les chercheurs en ‘malwares’ de Bitdefender ont analysé un échantillon de nouvelles souches du malware et ont observé de nettes différences entre CryptoWall 4.0 et ses prédécesseurs.
En termes de propagation, CryptoWall semble utiliser les mêmes méthodes de distribution par e-mail que les versions précédentes, via des e-mails infectés.
[quote]Le malware affiche une demande de rançon retravaillé et de nouveaux noms de fichiers, mais le changement le plus notable est que CryptoWall 4.0 encode désormais les noms des fichiers.
Le nom de chaque fichier est modifié en une série de caractères aléatoires et tout le fichier est chiffré, ainsi, il est quasiment impossible pour l’utilisateur de différencier les fichiers ayant été chiffrés.
Après avoir chiffré tous les fichiers, le malware affiche un message de rançon dans trois formats:
Le message est sensiblement différent des précédentes versions, plus long, moins alarmiste et avec une pointe d’ironie.
(clic sur l’image pour agrandir)
[quote]Après avoir ainsi éduqué les utilisateurs sur le chiffrement, les hackers précisent qu’ils sont les seuls à disposer du prétendu logiciel de déchiffrement que les utilisateurs doivent s’empresser de payer et aussi que « toute tentative de restaurer vos fichiers avec d’autres outils fournis par des tiers peuvent être fatales aux fichiers chiffrés.’ [/quote]
Métaphoriquement parlant, les fichiers endommagés sont autant de pièces manquantes du puzzle, l’image ne sera jamais de nouveau complète, si vous ne payez pas.
Pour préserver l’anonymat, le ransomware demande aux utilisateurs de payer la rançon via une adresse Tor. Les pirates préviennent aussi leurs victimes que les solutions antivirus sont à blâmer si des informations sont supprimées en essayant de bloquer la menace.
Le message recommande de payer sous 2-3 jours, au cas où les liens seraient désactivés.
CryptoWall 4.0 continue d’utiliser le même site de service de déchiffrement que les versions précédentes.
Sur ce site, la victime peut effectuer et valider l’état de ses paiements et même formuler une demande d’assistance.
Les serveurs de spam de CryptoWall 4.0 sont situés en Russie et le malware écrit en Javascript télécharge le composant de ce ransomware depuis un serveur russe.
Les investigations de révèlent aussi que l’algorithme de chiffrement utilisé est de l’AES 256, seule la clef est chiffrée en RSA 2048, qui est un algorithme impossible à déchiffrer de part sa complexité.
Les pays ciblés jusqu’ici et identifiés:
– La France
– L’Italie
– L’Allemagne
– L’Inde
– La Roumanie
– L’Espagne
– Les États-Unis
– La Chine
– Le Kenya
– L’Afrique du Sud
– Le Koweït
– Les Philippines
Les utilisateurs russes semblent être à ’abri, le malware ne poursuit pas le chiffrement s’il détecte que la langue du clavier est le russe.
Comment se protéger de CryptoWall ?
Dans la lignée de ses prédécesseurs, CryptoWall est rapidement devenu un succès financier pour ses créateurs, de récents chiffres montrent que les dommages liés à CryptoWall 3.0 s’élèvent à 325 millions de dollars, uniquement aux États-Unis.
Ce succès a incité d’autres groupes de cybercriminels à écrire un nouveau code qui utilise des algorithmes de chiffrage plus sophistiqués.
Par conséquent, il devient de plus en plus difficile pour les éditeurs d’antivirus de déchiffrer le code et de proposer une solution.
Pour arrêter la propagation de cette menace, les experts antimalware de Bitdefender ont développé un antidote.
Ce logiciel permet aux utilisateurs d’immuniser leurs ordinateurs et de bloquer les tentatives de chiffrement de fichiers.
Rappelez-vous:
[quote]Cet outil agit comme une couche supplémentaire de protection, en complément d’une solution anti-malware.
Si l’ordinateur est déjà infecté par CryptoWall 4.0, ce vaccin n’aidera pas à désinfecter la machine.
L’outil doit être installé et utilisé en tant que mesure proactive exclusivement contre cette variante spécifique de ransomware.[/quote]
Téléchargez gratuitement le vaccin contre CryptoWall 4.0 de Bitdefender.
secunews.org: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue, ne cliquez pas sur tout et n’importe quoi, pensez-y deux fois avant de cliquer ou partager un lien, cela rendra le travail des arnaqueurs bien plus difficile à exercer et afin d’empêcher que vos PC ou vos appareils mobile ne deviennent un élément d’un réseau de zombie (botnet)
