Une variation de ransomware TorrentLocker cible les utilisateurs japonais

Table des matières

• Une variation de ransomware TorrentLocker écrite pour cibler spécifiquement les utilisateurs japonais
• À propos de TorrentLocker
• L’attaque

Une variation de ransomware TorrentLocker écrite pour cibler spécifiquement les utilisateurs japonais

Une nouvelle variation du ransomware TorrentLocker a été découverte par des experts en sécurité de Symantec, exploitée dans la nature. C’est le premier cas signalé d’un ransomware ciblant spécifiquement les utilisateurs au Japon. Bien que le Japon ne soit pas étranger aux ransomwares, jamais auparavant un cybercriminel n’avait tenté d’attaquer les utilisateurs japonais de manière aussi spécifique. Les chercheurs de Symantec affirment que ce ransomware est une variante localisée de TorLocker. Le malware chiffre les fichiers avec certaines extensions de fichier sur l’ordinateur compromis et exige que l’utilisateur paie pour déchiffrer les fichiers. Les chercheurs de Symantec ont également confirmé qu’il existe plusieurs variantes de ce ransomware japonais particulier.

À propos de TorrentLocker

Ce nouveau type de ransomware est un frère de CryptoLocker et de CrptoWall et communique avec son serveur de commande et de contrôle via le réseau d’anonymisation Tor. TorrentLocker utilise des thèmes et des noms provenant des ransomwares CryptoLocker et CryptoWall, mais est très différent au niveau du code et est considéré comme une nouvelle souche de ransomware. Le malware se connecte d’abord à un serveur de commande et de contrôle (C&C) via des communications sécurisées et échange un certificat avant de chiffrer le malware. Le malware utilise l’algorithme Rijndael pour le chiffrement des fichiers. Il s’agit d’un chiffre symétrique qui utilise un mot de passe soit stocké localement, soit récupéré sur le serveur des attaquants à distance pour le chiffrement.

L’attaque

Les ransomwares se propagent généralement par autant de moyens que possible pour essayer d’infecter des utilisateurs sans méfiance, cependant, le moyen préféré des cybercriminels est le spear phishing. Le malware est dissimulé dans un e-mail anodin en tant que pièce jointe que la victime télécharge en pensant qu’il s’agit d’un fichier authentique. Une fois qu’un ransomware a été téléchargé sur une machine, il commence à chiffrer tous les fichiers qu’il a été commandé de traiter via le programme et demande un paiement – généralement en Bitcoins – pour déchiffrer les fichiers, rendant ainsi les données de l’utilisateur otages. Ce ransomware particulier fonctionne également de la même manière avec l’ajout que toutes les instructions sont écrites en japonais.

TorLocker a été utilisé dans des attaques de ransomware à travers le monde. La menace fait partie d’un programme d’affiliation, où l’opérateur du programme donne aux participants le constructeur pour créer des ransomwares personnalisés, l’accès au panneau de contrôle de TorLocker pour suivre les infections, et divers fichiers à utiliser en conjonction avec le malware. En retour, les participants donnent une partie du profit de l’attaque à l’opérateur du programme d’affiliation.

Le malware se propage via la page de phishing comme indiqué dans l’image ci-dessus, qui affiche une fausse page d’installation d’Adobe Flash Player. Si un utilisateur clique sur le lien en jaune pour télécharger ce faux Flash Player, il est invité à télécharger et exécuter un fichier d’installation pour installer le plugin. Cependant, le fichier n’est pas signé numériquement, et il ne contient pas l’icône typique utilisée dans les installateurs de Flash Player. Ces deux faits suggèrent qu’il s’agit d’une application chargée de malware qui ne pourra être détectée que par des utilisateurs avertis. Une fois le fichier téléchargé et installé, le ransomware commence à chiffrer les données de l’utilisateur.

Une fois que le malware a terminé son travail, cet écran est affiché à l’utilisateur. Le message demande alors à l’utilisateur de payer pour déverrouiller ses fichiers. La rançon demandée varie de 40 000 yens à 300 000 yens (environ 500 $ à 3 600 $). Le Japon approche rapidement de ses vacances du Nouvel An, ce qui est un moment opportun pour les cybercriminels de frapper. L’attaquant souhaite probablement tirer le meilleur parti des utilisateurs sans méfiance naviguant sur Internet.

Symantec a les recommandations suivantes pour éviter ou atténuer les infections par ransomware :

• Mettez à jour les logiciels, le système d’exploitation et les plugins de navigateur sur votre ordinateur pour empêcher les attaquants d’exploiter des vulnérabilités connues.

• Utilisez un logiciel de sécurité complet, tel que Norton Security, pour vous protéger contre les cybercriminels.

• Sauvegardez régulièrement tous les fichiers stockés sur votre ordinateur. Si votre ordinateur a été compromis par un ransomware, ces fichiers peuvent être restaurés une fois le malware supprimé de l’ordinateur.

• Ne payez jamais la rançon. Il n’y a aucune garantie que l’attaquant déchiffrera les fichiers comme promis une fois qu’il aura reçu le paiement.