Il existe désormais un nouveau ransomware ciblant les joueurs de 40 jeux en ligne dans ce qui semble être une tentative de cibler un public d’utilisateurs informatiques plus jeune.
Les ransomwares sont un type de malware qui cible et chiffre les fichiers de l’utilisateur de la machine infectée. Une fois les fichiers chiffrés, les auteurs contrôlant le malware exigent un paiement en échange de la clé privée qui peut déchiffrer les fichiers. Après une période de temps prédéterminée, les criminels détruisent la clé de déchiffrement.
Le malware a d’abord été détecté par Bleeping Computer, un forum de support technique et d’éducation des utilisateurs qui s’est rapidement établi comme la source d’informations principale sur les techniques de chiffrement et les ransomwares. Bleeping Computer a découvert le malware TelsaCrypt alors que la compagnie spécialisée en sécurité, Bromium, a publié un rapport séparé et complètement indépendant sur la menace, qu’elle qualifie comme une nouvelle variante de Cryptolocker. Bleeping Computer attribue la découverte de TeslaCrypt à Fabian Wosar d’Emsisoft.
Selon Bleeping Computer, TeslaCrypt cible les fichiers associés aux jeux et aux plateformes telles que RPG Maker, League of Legends, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks et autres jeux populaires. C’est un changement par rapport aux attaques antérieures qui ciblaient plutôt des documents, des photos, des vidéos et autres fichiers standard stockés sur les ordinateurs des utilisateurs. Il déploie un chiffrement AES afin que les gamers ne soient pas capables d’accéder à leurs fichiers de jeux sans la clé de chiffrement. Au fait, cette clé coûtera à l’utilisateur 500 dollars s’il choisit de payer en Bitcoin et 1000 dollars s’il choisit de payer via une carte My Cash de PayPal.
Alors que Bleeping Computer a révélé l’histoire, Bromium en a rajouté en déterminant comment TeslaCrypt était attribué. Sans surprise, les criminels dissimulent la menace dans le kit exploit Angler. Les kits exploit sont des logiciels préconçus pour compromettre des systèmes informatiques. Ils viennent remplis d’exploits ciblant les vulnérabilités de sécurité les plus communes et tout comme c’est le cas pour les logiciels légitimes, les pirates peuvent payer des frais de licence afin de pouvoir y accéder. Les kits d’exploit sont une manière facile pour les criminels de télécharger des malwares sur les machines de leurs victimes. Pendant des années, BlackHole fut le premier kit d’exploit. Néanmoins, ce kit a été mis de côté après que son auteur ait été arrêté en Russie. Pendant l’année et demi qui a suivi, Angler est apparu pour combler le vide en intégrant constamment de nouveaux zero-days ainsi que des exploits pour ces vulnérabilités.
Un nouveau #ransomware appelé #TeslaCrypt cible les gamers
Tweet
Après l’infection, le malware change le fond d’écran de l’ordinateur afin d’indiquer à l’utilisateur que ses fichiers ont été chiffrés. Le message contient des instructions sur comment et où les utilisateurs doivent se rendre pour acheter la clé privée afin de déchiffrer leurs fichiers. Une partie du processus inclut le téléchargement du navigateur Tor. Curieusement, il existe un site de services cachés où les utilisateurs infectés peuvent recevoir un support technique de la part des auteurs de malwares qui leur expliqueront comment réaliser un paiement pour ensuite déchiffrer leurs fichiers. Le message contient également une date limite, après cette date la clé privée de chiffrement sera détruite et les fichiers ne pourront jamais être récupérés.
Le message est très similaire à celui utilisé par le ransomware Cryptolocker et c’est en fait certainement la raison pour laquelle Bromium pense que les deux malwares sont liés. Comme Bromium le souligne, les similarités techniques entre les deux sont négligeables mais ils pensent quand même que TeslaCrypt rapporte des fonds à CryptoLocker.
#CryptoLocker Variant Coming After Gamers – https://t.co/PpCEfk5bbL
— Threatpost (@threatpost) March 12, 2015
Comme toujours, à Kaspersky Daily, nous ne conseillons à personne de payer la rançon. La payer serait encourager ce type d’arnaques. La meilleure défense contre cette menace et autres types de ransomware similaires est de réaliser des copies de sauvegarde régulièrement. Sur Mac, TimeMachine est un excellent service qui permet de réaliser une sauvegarde automatique sur des appareils de stockage. Si vous êtes infecté, il vous suffira de lancer TimeMachine et de faire revenir votre ordinateur à une date avant l’infection. Les machines Windows offrent une fonctionnalité de restauration similaire qui permet aussi aux utilisateurs de faire revenir leur ordinateur en arrière. La meilleure option est simplement de sauvegarder tous vos fichiers importants et de les garder sur un disque dur externe plusieurs fois par mois. Ainsi vous pourrez tout simplement supprimer les fichiers chiffrés, utiliser un produit antivirus puissant pour supprimer le malware et ensuite récupérer vos fichiers sur votre disque dur externe.
Bien évidemment, vous devrez installer toutes les mises à jour de votre système d’exploitation, logiciels, applications et navigateurs. La grande majorité des kits d’exploit ciblent des vulnérabilités de sécurité qui disposent déjà de patchs.
New #TeslaCrypt #Ransomware sets its scope on video gamershttp://t.co/u3cO8iMdp8 pic.twitter.com/rrhBG9HJ4x
— BleepingComputer (@BleepinComputer) February 27, 2015
Nous vous l’avons déjà dit et nous vous le disons à nouveau : les ransomwares sont ici pour rester et c’est une bien mauvaise nouvelle, assurez-vous donc de prendre le temps de sauvegarder les données de votre ordinateur. En outre, comme vous pouvez le voir à travers la mise en place d’un support technique et de techniques de branding, les individus derrière ces arnaques se tournent de plus en plus vers le business et le marketing. En d’autres termes, ils deviennent de plus en plus efficaces pour infecter les utilisateurs et les convaincre de payer afin de récupérer leurs fichiers. Cette réalité existe dans un monde où nous connectons de plus en plus d’objets à Internet, ce qui ne fera qu’exacerber le problème.