Le ransomware cryptographique Ranscam supprime simplement les fichiers, ne crypte rien

Le rançongiciel Crypto est partout. Les programmes qui chiffrent les fichiers des utilisateurs et nécessitent ensuite une rançon pour déchiffrer les données rapportent beaucoup d'argent à leurs créateurs. Parmi ce type de logiciels, il existe des programmes vraiment brillants. Dans de nombreux cas, les développeurs de ces logiciels malveillants tiennent leur promesse: si l'utilisateur paie, il reçoit une clé pour décrypter les fichiers. Mais ce n'est pas toujours le cas - parfois la clé ne vient pas après le paiement.

Il arrive également qu'il n'y ait pas seulement une clé, mais aussi des fichiers. Ranscam est un malware qui ne prétend être qu'un ransomware crypto. Le logiciel prétend que les fichiers sont cryptés, bien qu'en fait tout ce que l'utilisateur voit à l'écran soit une ligne de commande avec une liste de fichiers supprimés. Dès que les fichiers sont supprimés, le programme affiche une fenêtre pop-up vous demandant de payer de l'argent pour recevoir la clé de cryptage.



Dans la fenêtre d'informations qui apparaît, l'utilisateur voit un message indiquant que tous les fichiers ont été transférés vers une section cachée du disque et cryptés; tous les programmes importants sont bloqués; l'ordinateur ne peut pas fonctionner normalement. Il est également indiqué que lors d'un paiement en bitcoins, tout reviendra à sa place - l'utilisateur recevra ses fichiers.

Un peu plus bas dans la fenêtre se trouve un champ où vous devez saisir vos données après avoir effectué un paiement. Le malware doit soi-disant «vérifier» les données de paiement de la victime. Il est également dit que le fait d'appuyer sur un bouton sans effectuer de paiement entraîne la suppression complète de tous les fichiers. Tout ce que ce logiciel fait est d'exécuter une requête HTTP GET pour recevoir des images PNG démontrant le processus de vérification à l'utilisateur. En fait, le programme ne vérifie rien.

De plus, le paiement n'aidera pas - tous les fichiers sont supprimés avec un crypto-ransomware lorsque le PC est infecté. L'auteur du malware essaie d'inciter la victime à payer de l'argent. Le logiciel lui-même est assez simple - des attaquants pas trop expérimentés y ont évidemment travaillé.

Le virus pénètre dans l'ordinateur de l'utilisateur sous la forme d'un fichier .NET exécutable. Le fichier est signé avec un certificat numérique émis par reca [.] Net. La date de délivrance du certificat est le 6 juillet 2016.



Lorsque la victime ouvre le fichier, le logiciel effectue plusieurs actions. Tout d'abord, le programme se copie dans% APPDATA% \ et s'enregistre également au démarrage. De plus, il est décompressé dans% TEMP% \.





Le programme crée et exécute un fichier exécutable qui trouve un certain nombre de dossiers dans le système de la victime et prétend «crypter» ces fichiers. En fait, tout est définitivement supprimé.



Le malware dans ce cas justifie pleinement son nom, car il effectue un certain nombre d'autres actions qui tuent le système de l'utilisateur:

• Supprimer tous les fichiers Windows responsables de la sauvegarde des données (restauration du système);
• Supprime les clichés instantanés;
• Supprime un certain nombre de clés de registre responsables du démarrage du système en mode sans échec.

Après tout cela, le système demande un fichier JPEG pour montrer un message sur la nécessité de payer pour le décryptage des fichiers.



Une fois que tout cela est fait, le script arrête l'ordinateur. Toutes les étapes décrites ci-dessus seront effectuées chaque fois que vous allumez le PC. Et chaque fois que le malware supprime de plus en plus de nouveaux fichiers et affiche un message sur la nécessité de payer.



Voici une liste des fichiers qui sont téléchargés lorsque Ranscam s'exécute depuis le serveur de l'attaquant. Il n'a même pas pris la peine de brouiller les données.

Les experts en sécurité de l'information qui étudient les logiciels malveillants ont envoyé une adresse e-mail au virus spécifié dans le message. La «victime» a demandé l'aide du créateur du virus, disant qu'elle ne pouvait pas terminer correctement la transaction avec Bitcoin. Presque immédiatement après la demande, une réponse est venue.



Il y avait une autre demande d'aide: «Je ne comprends rien à ces choses. Je ne comprends pas ce que tout cela signifie ni combien cela coûte, mais je veux récupérer mon ordinateur. J'ai beaucoup de photos de ma famille et je ne peux même pas naviguer. Y a-t-il un endroit où je peux envoyer mes données, ou peut-être y a-t-il un numéro de téléphone sur lequel vous pouvez me laisser vous aider? Je ne sais pas ce que j'ai fait, mais l'ordinateur de ma fille n'affiche pas ce méchant message, que dois-je faire? Aidez-moi à retourner mes photos, elles sont importantes! »

Quelques heures après la demande, l'attaquant a envoyé une réponse, où il a donné des instructions détaillées sur le paiement. Après cela, l'auteur du virus n'a pas continué à communiquer. Cependant, il a fourni la même adresse de portefeuille Bitcoin que celle répertoriée dans la fenêtre d'informations affichée par le virus. Cette adresse est 1G6tQeWrwp6TU1qunLjdNmLTPQu7PnsMYd. Les experts qui ont étudié le problème ont vérifié les transactions de ce portefeuille et ont constaté que le montant total des fonds transférés avait déjà atteint 277,61 $. Certes, cet argent est arrivé au portefeuille plus tôt, jusqu'au 20 juin. Il n'y a aucune transaction après cette date.

Jusqu'à présent, ce malware ne s'est pas trop propagé. Ranscam est peut-être l'un des premiers logiciels malveillants, dont les créateurs ne veulent pas faire de travail supplémentaire, mais veulent seulement de l'argent. Pourquoi créer un rançongiciel cryptographique complexe, dépenser du temps et de l'argent pour le créer, si vous pouvez le déguiser en virus ordinaire qui supprime des fichiers et nécessite de l'argent? La question est rhétorique.

Source: https://habr.com/ru/post/fr396123/