Sécurité

Une nouvelle attaque de ransomware tente d’encadrer les chercheurs en sécurité – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

La plupart des rançongiciels essaient d’extraire une rançon pour la restauration des fichiers, d’où leur nom. Que les individus malveillants à l’origine de l’attaque tiennent ou non leur parti varie, mais une nouvelle version d’Azov Ransomware ne dérange pas. Au lieu d’exiger Bitcoin, il dit aux personnes infectées de contacter les chercheurs en sécurité et la publication de cybersécurité BleepingComputer, comme s’ils étaient les auteurs du malware. Cependant, ce n’est qu’une tentative d’encadrer les gentils.

Bien qu’Azov possède certaines fonctionnalités d’un rançongiciel et qu’il se présente comme tel, il est plus exact de l’appeler un effaceur de données. Le malware mis à jour a commencé à apparaître sur les systèmes au cours des derniers jours après l’achat d’installations via le malware SmokeLoader. Les gens récupèrent souvent SmokeLoader sur des sites sommaires qui proposent des générateurs de clés, des fissures logicielles et des tricheurs de jeux. Ce botnet est utilisé pour distribuer de nombreux logiciels de piratage malveillants, y compris d’autres logiciels de rançon. Il y a même des gens dont les systèmes ont été doublement cryptés, d’abord par Azov puis par le rançongiciel STOP.

Lorsqu’il est introduit sur un système, le logiciel malveillant se lance à partir d’un répertoire temporaire, généralement avec l’ajout d’une clé de registre Windows. L’exécutable analyse tous les lecteurs de l’ordinateur pour rechercher des fichiers qui n’ont pas d’extensions ini, exe ou dll. Chaque fois qu’il trouve quelque chose d’autre, comme un document, une image ou une vidéo, il le crypte et ajoute l’extension de fichier .azov à la fin.

Dans chaque dossier contenant des fichiers cryptés, Azov crée un document texte appelé « RESTORE_FILES.txt », que vous pouvez voir ci-dessus. Habituellement, c’est là que votre rançongiciel moyen demanderait de l’argent pour décrypter les fichiers. Comme le rapporte BleepingComputer, le document texte prétend avoir été écrit par le chercheur en sécurité polonais et analyste de logiciels malveillants Hasherezade. Le document indique aux utilisateurs de contacter Hasherezade, BleepingComputer (et le propriétaire Lawrence Abrams), Vitali Kremez et d’autres professionnels de la cybersécurité sur Twitter. Hasherezade note dans un communiqué qu’il est courant pour les auteurs de logiciels malveillants d’essayer d’encadrer les chercheurs.

Naturellement, aucune de ces personnes ne pourra rien faire au sujet des fichiers cryptés, mais ce n’est pas l’intention. Les attaquants semblent vouloir impliquer ces individus tout en semant le chaos en ligne. Le document fait également des déclarations pro-russes sur la guerre en Ukraine, déguisées de manière transparente en soutien à la fin de la guerre. Il est possible que quelqu’un trouve un moyen de déverrouiller les fichiers cryptés par Azov, mais pour le moment, ils doivent être considérés comme des toasts.

Maintenant lis:

Bouton retour en haut de la page