16/12/2024

Actu Cybersécurité

Un nouveau ransomware utilise Windows PowerShell

L'année dernière, le ransomware CryptoLocker avait ciblé des millions de machines dans le monde. Récemment, les chercheurs en sécurité de chez TrendLabs ont trouvés une nouvelle variante sophistiquée, qui utilise Windows PowerShell pour chiffrer les données sur l'ordinateur de la victime. Le nom de cette variante est TROJ_POSHCODER.A.

On pourrait croire que les cybercriminels ont utilisés PowerShell pour rendre la détection et l'analyse de ce malware plus complexe sur le système infecté. Cependant, c'est un échec puisque les chercheurs annoncent que dans ce cas l'utilisation de PowerShell a facilité la détection. Ils précisent sur leur blog : "Déchiffrer et analyser ce malware n'a pas était difficile, particulièrement comparé à d'autres variantes de ransomware".

TROJ_POSHCODER.A apparaît sous la forme d'un script qui utilise la fonctionnalité PowerShell. Il utilise l'AES pour chiffrer les fichiers, et, une paire de clés RSA de 4096 bits. Une fois que le ransomware est installé et exécuté sur la machine Windows de la victime, il chiffre les fichiers présent sur cette machine et les renomme en {nom-fichier}.POSHCODER. De plus, il place un fichier UNLOCKYOURFILES.html dans chaque dossier.

Dès que tous les fichiers sur le système infecté sont chiffrés, il affiche un message qui indique "Vos fichiers ont été chiffrés et verrouillés avec une clé RSA4096". A la suite, des instructions sont données afin de vous permettre de déchiffrer les données.

ransom1

Les instructions dirigent l'utilisateur sur une nouvelle page, demandant à la victime de télécharger l'application Multibit, afin d'obtenir leur propre portefeuille Bitcoin pour 1 Bitcoin. Une fois que la victime a achetée l'application, il est demandé de remplir un formulaire qui contient diverses informations concernant la victime, comme l'adresse mail, l'adresse du compte Bitcoin et l'ID, afin d'obtenir la clé de déchiffrement de la part des cybercriminels et de récupérer la main sur sa machine.

ransom2

Cette nouvelle variante de ransomware cible en priorité les personnes qui parlent Anglais, aux Etats-Unis. Du moins, pour l'instant...

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.