ransomware
Nos chercheurs ont analysé le programme malveillant HermeticRansom, aussi connu comme Elections GoRansom. En quelques mots, il s’agit d’un outil de chiffrement assez simple. Dans ce cas, c’est l’utilisation qu’en font les cybercriminels qui nous intéresse.
Les objectifs de HermeticRansom
HermeticRansom attaquait les ordinateurs en même temps qu’un autre programme malveillant connu comme HermeticWiper, qui se servait des informations publiques partagées par la communauté de la sécurité, et a été utilisé lors des récentes attaques informatiques contre l’Ukraine. Selon nos experts, la simplicité relative et discutable du flux de travail de mise en œuvre du malware indique que HermeticRansom a été utilisé comme écran de fumée pour les attaques de HermeticWiper.
Les capacités de HermeticRansom
Une fois que l’ordinateur de la victime est infecté, le programme malveillant identifie les disques durs et recueille une liste de l’historique et des fichiers conservés partout sauf dans les dossiers Windows et Program Files. Ensuite, le malware chiffre certaines catégories de fichiers et les renomme en ajoutant l’étiquette .encrypted et l’adresse e-mail des opérateurs du programme malveillant. Le malware crée également un fichier read_me.html dans le dossier Desktop, laissant une demande de rançon et les coordonnées des cybercriminels à la victime. Le message ressemble à ça :
Demande de rançon laissée par le programme malveillant HermeticRansom
HermeticRansom chiffre les fichiers avec les extensions suivantes : .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi and odt.
Les particularités de HermeticRansom
HermeticRansom est écrit en Golang. Il n’utilise aucun mécanisme d’offuscation et la méthode de chiffrement est assez laborieuse et inefficace. À en juger par ces caractéristiques et bien d’autres, nos experts pensent que ce programme malveillant a été créé à la hâte.
Vous pouvez lire l’analyse technique plus détaillée de ce malware et connaître des indicateurs de compromission sur notre blog Securelist.
Comment vous protéger
Les solutions de sécurité de Kaspersky détectent le programme malveillant HermeticRansom et les menaces similaires. Nous disposons d’un vaste éventail d’outils qui assurent la protection des ordinateurs des particuliers et de l’infrastructure des entreprises. On y trouve notamment :
- Kaspersky Internet Security: notre solution de sécurité multi-plateforme destinée aux particuliers ;
- Kaspersky Endpoint Security Cloud: notre solution qui assure la protection des entreprises ;
- Kaspersky Anti-Ransomware Tool: notre solution gratuite destinée aux entreprises et qui peut fonctionner comme couche de protection supplémentaire en complément de produits d’autres fabricants.
Conseils