Ce ransomware crypte vos fichiers puis vous lit la note de rançon

De Russie avec amour : le ransomware Cerber crypte d’abord vos fichiers puis lit la note de rançon

Les auteurs de logiciels malveillants sont connus pour être ingénieux et il ne faut pas leur faire confiance pour créer un ransomware qui lit effectivement la note de rançon à la victime.

Cerber est un ransomware récent qui crypte les fichiers de la victime ciblée puis fournit une fonctionnalité TTS (texte-à-parole) qui lit la note de rançon.

Le ransomware a été découvert par deux chercheurs en sécurité indépendants, @BiebsMalwareGuy et @MeegulWorth, et a été analysé par des chercheurs de Bleeping Computer et Malwarebytes.

Le Cerber a été analysé pour la première fois la semaine dernière par des chercheurs en sécurité de SenseCy. Les chercheurs de SenseCy ont déclaré que Cerber est écrit par des codeurs russes qui le font de la publicité et le vendent comme un service RaaS sur des forums de hacking souterrains en Russie.

Le Ransomware-as-a-Service (RaaS) est un nouveau modèle commercial qui se développe rapidement en Russie. Dans le cadre du RaaS, les codeurs de logiciels malveillants fournissent un ransomware entièrement codé pour un montant fixe à des cybercriminels qui le distribuent ensuite via des campagnes de spam et de spear-phishing. Les auteurs prennent une petite part seulement lorsque la victime paie la rançon.

Cerber est un ransomware unique à bien des égards. L’une des qualités de Cerber est qu’il évite les pays russophones. Les chercheurs ont déclaré que le code de Cerber indique qu’il a été spécifiquement conçu pour éviter les infections des utilisateurs vivant dans d’anciens pays soviétiques.

Un autre aspect des opérations de Cerber est le fait que, avant de crypter les fichiers, le ransomware affiche un message d’erreur par lequel il trompe l’utilisateur en lui faisant redémarrer l’ordinateur. Le ransomware fait redémarrer le PC en « Mode sans échec avec réseau » puis redémarre de force l’ordinateur à nouveau en mode normal.

Après ce redémarrage forcé, Cerber commence à crypter les fichiers avec un algorithme AES. Le ransomware cible 380 types de fichiers, et pendant le processus de cryptage, il brouille le nom des fichiers et ajoute l’extension .cerber à la fin. Une fois que Cerber prend le contrôle du PC de la victime, il ajoute trois notes en format texte, HTML et VBS dans chacun des dossiers où il a crypté des données. Lorsque la victime clique sur la note, Cerber récite la note de rançon à l’utilisateur.

La note de rançon demande 1,24 Bitcoin (520 $ / 475 €), une somme qui double après la première semaine. Comme d’habitude, les utilisateurs doivent payer la rançon en Bitcoin via une URL du Dark Web (domaine .onion).

Cerber est indécryptable pour l’instant.