IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Ranscam : un ransomware qui efface les données des victimes


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 808
    Points
    51 808
    Par défaut Ranscam : un ransomware qui efface les données des victimes
    Ranscam : un ransomware qui efface les données des victimes
    Même en cas de paiement de la rançon

    Les ransomwares sont devenus une tendance chez les cybercriminels afin d’extorquer l’argent des victimes. Pour cette raison, les concepteurs de ces malwares continuent de les améliorer et les perfectionner pour les rendre encore plus redoutables. Mais on ne peut pas dire la même chose à propos de Ranscam, un nouveau ransomware dévoilé par la firme de sécurité Talos.

    Ranscam est une arnaque pire que les arnaques des autres ransomwares. Tous ces programmes sont malveillants, mais au moins, ils offrent une lueur d’espoir aux victimes, en leur promettant de récupérer leurs fichiers si elles suivent les instructions. Mais pour Ranscam, rien de tout ça ne compte, il ne déchiffre pas les fichiers même si la victime paie la somme demandée.

    Ranscam n’est pas un ransomware aussi complexe que Cryptowall ou Teslacrypt par exemple, il manque de capacités comme le déchiffrement et la restauration de fichiers. Le malware prétend tout simplement qu’il a chiffré les fichiers et envoie l’utilisateur vers une landing page qui demande le paiement de 0,2 bitcoin. Ensuite, il continue de faire monter la pression, en informant ses victimes que pour chaque manipulation dans leurs ordinateurs qui n’est pas liée au paiement, des fichiers sont supprimés.

    Seulement tout cela n’est pas vrai, Ranscam entreprend de supprimer les fichiers de ses victimes dès le début. Ainsi, il écarte toute possibilité de les récupérer, même en cas de paiement de la rançon. Il informe aussi ses victimes que leurs fichiers ont été transférés vers une partition cachée et chiffrée, ce qui est inhabituel. L’ensemble des autres ransomwares indiquent que les fichiers sont encore dans leur emplacement et qu’ils sont chiffrés pour restreindre l’accès.

    Au lieu de chiffrer les fichiers, Ranscam les détruit tout simplement. Il détruit aussi des fichiers clés de Windows qui permettent d’effectuer une restauration du système. Les clés du registre de Windows qui permettent d’entrer dans le Safe Mode ou le Gestionnaire des tâches sont effacées. Bref, le ransomware cherche à pousser la victime à payer en la persuadant qu'il n'y a plus d'autre solution.

    Talos a trouvé que le message présenté aux victimes est juste un fichier image téléchargé par une requête HTTP non sécurisée et non chiffrée à partir d’un serveur en Californie. Après la finalisation de la transaction, cliquer sur le « bouton » après le paiement ne résulte à rien, le malware affiche une autre image « nopay.png » qui informe seulement la victime que le paiement n’a pas pu être vérifié et en conséquence, un fichier pris en otage a été détruit. Et le malware continue à agir ainsi même en recommençant les étapes à zéro. En effet, tous les fichiers ont été déjà détruits par un script lancé par un exécutable Windows .NET depuis le début.

    Les chercheurs ont pu communiquer avec les pirates à l’origine du ransomware. Les cybercriminels ont répondu à l’email et ont expliqué comment acheter et envoyer le bitcoin. Ils ont même préconisé aux chercheurs (qui se sont fait passer pour des ignorants), que s’ils avaient besoin de faire un transfert de cash pour acheter le bitcoin le samedi, ils doivent faire les transactions nécessaires un peu tôt, avant la fermeture des banques. Pour les chercheurs, ces cybercriminels manifestent leur volonté d’apporter le support technique à leurs victimes afin de maximiser la chance de recevoir un paiement.


    Source : Blog Talos

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Les ransomware continuent d'évoluer : Cerber se dote d'une fonctionnalité, pour créer des versions différentes de lui-même toutes les 15 secondes
    EduCrypt : un ransomware qui apprend une leçon sur la sécurité informatique et fournit une clé de déchiffrement sans demander de rançon
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    En attente de confirmation mail
    Profil pro
    Inscrit en
    Décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2010
    Messages : 555
    Points : 1 597
    Points
    1 597
    Par défaut
    Il y a une erreur de taille dans l'article.

    Ranscam n'est pas un ransomware.

  3. #3
    Membre averti Avatar de marts
    Inscrit en
    Février 2008
    Messages
    233
    Détails du profil
    Informations forums :
    Inscription : Février 2008
    Messages : 233
    Points : 425
    Points
    425
    Par défaut
    Ils veulent maximiser leur chance de recevoir un paiement ... mais les victimes sachant que leurs fichiers sont de toute façon condamnés ne vont certainement pas payer !
    Il y a quelque chose qui m'échappe ou ils sont vraiment stupides ?...
    11001.00101.10010.10000.00111

  4. #4
    Membre extrêmement actif
    Femme Profil pro
    None
    Inscrit en
    Août 2012
    Messages
    355
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : None

    Informations forums :
    Inscription : Août 2012
    Messages : 355
    Points : 716
    Points
    716
    Par défaut
    @marts, il faut te mettre à la place d'un utilisateur lambda qui ne connait que très peu de chose en informatique en dehors de son utilisation quotidienne (word, google, facebook, ...). Ils ne sont pas capables de déterminer si les fichiers ont été effectivement chiffrés et déplacés (ce dernier argument étant surement là pour expliquer la diminution de l'espace utilisé sur le pc) ou s'ils ont été définitivement supprimés. Donc ils vont payer dans l'espoir de récupérer ces fichiers, et le "sav" des criminels est là pour les inciter à recommencer l'opération en cas "d'échec" de l'opération.

    (Bon, l'avantage de cet "ransomware" par rapport aux autres, c'est que si effectivement ils se contentent de supprimer les fichiers au lieu de les chiffrer, ils doit être possible de les récupérer via un outil de récup')

  5. #5
    En attente de confirmation mail
    Profil pro
    Inscrit en
    Décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2010
    Messages : 555
    Points : 1 597
    Points
    1 597
    Par défaut
    Citation Envoyé par marts Voir le message
    Ils veulent maximiser leur chance de recevoir un paiement ... mais les victimes sachant que leurs fichiers sont de toute façon condamnés ne vont certainement pas payer !
    Il y a quelque chose qui m'échappe ou ils sont vraiment stupides ?...
    Les ransomwares représentent les virus les plus visibles aujourd'hui.
    Cette fois, il s'agit d'un virus qui se fait passer pour un ransomware. La victime est persuadée qu'elle va récupérer des fichiers en payant.

    À première vue, c'est bête et méchant. Mais ce virus a le mérite de détruire la confiance qui s'est établie entre les victimes et les ransomwares.
    Vu la multiplication des ransomware depuis ces 5 dernières années, je ne pense pas me mouiller en disant que c'est une activité de plus en plus lucrative car les victimes paient de plus en plus facilement car elles sont persuadées de récupérer leurs données.


    Sauf que cette fois, la victime croit qu'il s'agit d'un ransomware alors que c'est juste une arnaque qui a tout supprimé.

    Citation Envoyé par TheLastShot Voir le message
    (Bon, l'avantage de cet "ransomware" par rapport aux autres, c'est que si effectivement ils se contentent de supprimer les fichiers au lieu de les chiffrer, ils doit être possible de les récupérer via un outil de récup')
    Sauf si les pirates font une écriture aléatoire après suppression. Si ce n'est pas le cas aujourd'hui, ça le sera demain.

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    Mars 2011
    Messages
    83
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2011
    Messages : 83
    Points : 72
    Points
    72

  7. #7
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Au passage, il semble que Europol a mis en place un site web pour aider les victimes de vrai ransomware :
    https://www.nomoreransom.org/
    https://www.europol.europa.eu/newsle...ght-ransomware

    Je laisse les intéressés faire une news dessus.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

Discussions similaires

  1. Réponses: 26
    Dernier message: 20/11/2015, 00h03
  2. [XL-2007] Procédure Array pour effacer les données des WE et jr Fériés
    Par mouftie dans le forum Macros et VBA Excel
    Réponses: 4
    Dernier message: 09/10/2014, 10h33
  3. Pb formulaire qui efface les données
    Par cakao dans le forum Langage
    Réponses: 2
    Dernier message: 12/12/2011, 23h59
  4. Un bug majeur de Snow Leopard efface les données des utilisateurs
    Par Gordon Fowler dans le forum Actualités
    Réponses: 75
    Dernier message: 19/10/2009, 23h47
  5. Filtre sur les données des 3 derniers mois?
    Par Arkalys dans le forum Access
    Réponses: 2
    Dernier message: 21/10/2005, 10h02

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo