Double peine pour les victimes du rançongiciel Stop Djvu. Un faux outil de décryptage ajoute un second chiffrement aux données déjà compromises par le logiciel malveillant, au lieu de retirer le chiffrement déjà existant. Les victimes doivent alors payer deux rançons — ou trouver deux outils de décryptage — si elles veulent remettre la main sur leurs données.
C’est Michael Gillespie qui a sonné l’alerte sur son compte Twitter. Ce développeur, figure de la lutte contre les rançongiciels, est enfin parvenu à créer un outil (gratuit) pour déchiffrer Stop Djvu l’an dernier. Mais les cybercriminels ont adapté leur logiciel malveillant, désormais indécryptable dans ses versions les plus récentes. « Ne croyez rien qui affirme qu’il peut décrypter Djvu sauf si ça vient de MOI », peste Gillespie.
Les cybercriminels s’en prennent aux victimes d’un rançongiciel répandu
Stip Djvu vise les particuliers en se faisant passer pour des logiciels piraté. Vous pensez mettre la main sur une licence Photoshop gratuite, mais à la place, un message s’affiche sur l’écran : vous avez téléchargé un logiciel malveillant, toutes vos données ont été chiffrées, et vous devez contacter un numéro de téléphone pour payer une rançon (de quelques centaines à plusieurs milliers d’euros) si vous voulez les récupérer grâce à la clé de déchiffrement.
Stop Djvu attire moins l’attention que Maze, Sodinokibi ou DoppelPaymer, qui visent des grandes entreprises et réclament des centaines de milliers d’euros. Mais il était l’an dernier le plus répandu parmi les 867 rançongiciels reconnus par le site de référence ID-Ransomware.
Un rançongiciel nommé Zorab
Puisque les victimes ont contracté le virus informatique en s’essayant au téléchargement illégal, elles sont moins susceptibles de chercher de l’aide auprès des autorités, et hésitent moins à payer la rançon. Ou alors, elles partent à la recherche d’outil de décryptage gratuit, ce qui les amène à télécharger l’outil frauduleux.
Elles vont télécharger l’outil puis cliquer sur « démarrer le scan ». C’est alors qu’un second fichier, nommé « crab.exe » va être exécuté, relève le Bleeping Computer. Derrière ce fichier se trouve le rançongiciel baptisé « Zorab » par Michael Gillespie, car les données chiffrées prennent le format .zrb.
Un outil de décryptage contre le faux outil de décryptage en préparation
Dans le lot téléchargé, les rançonneurs laissent également une note expliquant que les données ont été chiffrées et qu’eux seuls possèdent la clé de déchiffrement. Ils invitent les victimes à les contacter par email, et à leur faire confiance pour honorer leur parole : « C’est juste un business ». Pour preuve, les personnes affectées peuvent faire déchiffrer gratuitement deux fichiers. Ironiquement, les rançonneurs concluent leur note par un avertissement qui va à l’encontre de leur business : « N’utilisez pas de logiciels tiers pour restaurer vos données. »
On peut se demander qui va payer pour déchiffrer des données déjà chiffrées, mais les cybercriminels veulent en faire leur gagne-pain. De son côté, Michael Gillespie avance que Zorab est décryptable, et nul doute qu’il travaille déjà sur un outil. Lawrence Abrams, le fondateur du BleepingComputer, expliquait que 90% des outils de déchiffrements mis à disposition gratuitement sur son site ont été développés par Gillespie. Soit plus de 300 000 téléchargements.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.