Une nouvelle variante du ransomware Onion a fait son apparition bien que vous le connaîtrez peut-être sous le nom de CTB-Locker ou Citroni.
Peu importe comment on l’appelle, CTB-Locker est un malware similaire à Cryptolocker qui chiffre tous les fichiers des machines qu’il infecte et demande une rançon afin de déchiffrer ces fichiers.
CTB-Locker ou Curve ou Tor Bitcoin Locker, est différent des autres ransomwares car il utilise le réseau anonyme Tor Project afin de ne pas être démantelé par les autorités qui reposent largement sur la prise de contrôle des serveurs du malware. Son utilisation de Tor l’aide également à éviter d’être détecté et bloqué. CTB-Locker protège également ses contrôleurs en acceptant uniquement la monnaie chiffrée décentralisée Bitcoin qui a aussi l’avantage d’être anonyme.
» Cacher les serveurs de commande et de contrôle dans le réseau anonyme Tor complique les recherches pour les cybercriminels, et l’utilisation d’une technique de chiffrement peu orthodoxe rend le déchiffrement des fichiers impossible, même si le trafic est intercepté entre le cheval de Troie et le serveur, » nous expliquait l’année dernière Fedor Sinitsyn, un analyste de Kaspersky Lab expert en malwares. » Il s’agit donc une menace extrêmement dangereuse et de l’un des dispositifs de chiffrement les plus avancés qu’il existe « .
La meilleure ligne de défense contre les #ransomwares c’est d’avoir réalisé une sauvegarde de votre machine la veille.
Tweet
La nouvelle version de CTB-Locker – connue par les produits de Kaspersky Lab comme Trojan-Ransom.Win32.Onion – contient des améliorations intéressantes selon Sinitsyn. Comme c’est de plus en plus le cas, il offre à ses victimes, en signe de bonne foi, la possibilité de choisir 5 fichiers à déchiffrer sans payer de rançon. Il est également disponible dans trois nouvelles langues : allemand, hollandais et italien. Afin de ne pas être détecté, CTB évite également les machines virtuelles que les chercheurs utilisent afin d’analyser en toute sécurité les malwares et de ne pas les exécuter dans ces environnements. Au lieu de se connecter directement à Tor, CTB utilise six autres services d’anonymat additionnels afin de compliquer davantage son suivi et son éventuel démantèlement.
La meilleure ligne de défense contre cette menace et bien d’autres est d’avoir réalisé une copie de sauvegarde de votre ordinateur la veille (et d’en réaliser une autre la semaine suivante). Vous avez également besoin d’utiliser un antivirus robuste et de vous assurer que tous vos logiciels, systèmes d’exploitation et applications sont à jour et les patchs les plus récents sont installés. Une fois infecté, il est impossible de récupérer des fichiers chiffrés par CTB-Locker. Vous pourriez payer la rançon mais outre le fait que la cybercriminalité devient un business de plus en plus professionnel et orienté vers ses clients, il n’y a aucune garantie que vous recevrez la clé pour déchiffrer vos fichiers.
Que vous le vouliez ou non, les ransomwares représent un business important et cela deviendra certainement de pire en pire alors que notre vie quotidienne est de plus en plus intégrée à ce que l’on appelle l’Internet des objets.
Pour le moment, le Kaspersky Security Network a détecté 361 tentatives d’infections, principalement en Russie et en Ukraine. Les utilisateurs de produits Kaspersky Lab sont normalement protégés contre cette menace et tout autre type de ransomware, sauf s’ils ont désactivé la fonctionnalité » System Watcher « . Le System Watcher réalise directement des copies de sauvegarde des fichiers des utilisateurs quand des programmes suspects tentent d’y accéder.