CoinVault appâte les utilisateurs en décryptant un fichier pour en chiffrer tous les autres

Table des matières

• CoinVault appâte les utilisateurs en décryptant un fichier pour en chiffrer tous les autres
• Appât pour attirer l’argent
• Conseils de sécurité

CoinVault appâte les utilisateurs en décryptant un fichier pour en chiffrer tous les autres

Le dernier ransomware appelé CoinVault frappe le PC piraté et offre à la victime la générosité de lui permettre de déchiffrer un fichier gratuitement avant de demander un paiement pour le reste en BitCoins. Comme un dealer de drogue ou un braqueur de banque, le nouveau malware, appelé CoinVault, donne à la partie payante un “goût” des biens libérés, puis exige le paiement intégral pour le reste. La rançon augmente plus la victime tarde à payer.

Appât pour attirer l’argent

CoinVault est similaire à d’autres ransomwares que nous avons vus auparavant. La seule différence étant que ce ransomware vous permet de déchiffrer l’un des fichiers “otages” pour vous montrer que le déchiffrement fonctionne et pour montrer les intentions ‘nobles’ des pirates. Une fois qu’il infecte un PC Windows, CoinVault affiche un message informant les victimes que “Vos documents et fichiers personnels sur cet ordinateur viennent d’être chiffrés.” Il exige un paiement en cryptomonnaie en ligne Bitcoin et donne des instructions sur la façon dont les victimes peuvent envoyer l’argent. C’est un logiciel qui peut être supprimé de votre machine comme n’importe quel autre. Mais une fois que vous l’avez supprimé, vous n’avez plus de moyen de récupérer vos fichiers perdus. Et le ransomware affiche cela pour faire passer le message.

Les experts conseillent toujours aux utilisateurs de ne pas payer une telle rançon. Principalement parce qu’il n’existe aucun cadre légal ou moyen pour garantir que l’attaquant déchiffrera vos fichiers une fois le paiement effectué. La plupart des attaquants déchiffrent généralement vos fichiers. Mais si l’un d’eux décide de ne pas le faire, cela devient un problème car le déchiffrement par vous-même pourrait prendre des années. La politique du “un déchiffrement gratuit” est probablement un moyen pour l’attaquant d’essayer d’inciter plus de gens à payer. L’emplacement où les victimes sont invitées à payer est également rendu dynamique, de sorte que les chances que l’attaquant soit retrouvé sont réduites.

Les chercheurs en sécurité ont analysé le malware. Il est fait sur le framework .Net. Une information intéressante est que ce ransomware vérifie également les analyseurs de réseau comme Wireshark, probablement pour se protéger. Kaspersky détecte cette famille comme ‘Trojan-Ransom.Win32.Crypmodadv.cj’. Nous avons déjà vu des applications malveillantes similaires dans le passé (en ce qui concerne la fonctionnalité) telles que ‘TorrentLocker’, et certains ransomwares PowerShell, mais la quantité d’efforts investis dans celui-ci pour protéger le code montre que les cybercriminels exploitent déjà des bibliothèques et des fonctionnalités développées pour éviter de réinventer la roue.

Conseils de sécurité

Pour se protéger contre de tels ransomwares, il est conseillé de :

• Toujours faire une sauvegarde de tous vos fichiers critiques et les enregistrer soit sur un disque dur externe, soit dans le cloud.

• Enregistrer plusieurs versions pour éviter que la sauvegarde ne soit également chiffrée.

• Si vous êtes un jour infecté par un ransomware, vous pouvez simplement supprimer le malware et restaurer vos anciens fichiers.

• Vous devez également vous assurer que tous vos logiciels sont à jour et corrigés, car les ransomwares exploitent presque toujours des vulnérabilités logicielles connues.

• Assurez-vous d’installer et d’exécuter une solution antivirus robuste, qui attrapera la plupart ou toutes les formes de malware contrôlé par des criminels.

Ressource : Secure List.