Un nouveau souche de ransomware fait le tour en ligne qui peut crypter vos fichiers encore plus rapidement que la plupart, car il utilise un outil de recherche Windows tiers populaire pour savoir exactement ce qu’il faut rechercher.
Découverte pour la première fois en juin de l’année dernière par Trend Micro, cette nouvelle souche de ransomware a été surnommée Mimic sur la base d’une chaîne que les chercheurs en sécurité de l’entreprise ont trouvée dans ses fichiers binaires. Selon un nouveau rapport (s’ouvre dans un nouvel onglet)le rançongiciel Mimic est jusqu’à présent principalement utilisé pour cibler les utilisateurs russophones et anglophones.
Assez intéressant, BipOrdinateur (s’ouvre dans un nouvel onglet) souligne qu’une partie du code trouvé dans Mimic partage des similitudes avec le Rançongiciel Conti. Cela est probablement dû au fait que le code source de Conti a été divulgué en mars 2022 par un chercheur ukrainien après que ses créateurs se soient rangés du côté de la Russie.
Le rançongiciel Mimic se propage actuellement par le biais de fichiers exécutables (.exe) qui sont envoyés aux victimes ciblées par e-mail. Une fois ouvert, l’exécutable extrait sa charge utile malveillante ainsi que les outils utilisés pour désactiver Windows Defender sur l’ordinateur d’une victime.
Mimic a quelques astuces dans sa manche pour aider à accélérer le processus de cryptage des fichiers d’une victime, y compris l’utilisation de plusieurs menaces de processeur et d’arguments de ligne de commande pour affiner le ciblage des fichiers.
Ce qui rend Mimic beaucoup plus rapide et plus efficace que les souches de rançongiciels précédentes, c’est la façon dont il utilise l’outil de recherche « Tout » pour localiser les fichiers à retenir en otage. Développé par Voidtools, Everything est un moteur de recherche de noms de fichiers pour Windows beaucoup plus efficace et plus rapide que Windows Search.
En utilisant Tout sur un système ciblé, Mimic est capable de localiser les fichiers qui peuvent être cryptés, comme les documents, tout en évitant les fichiers système qui empêcheraient un ordinateur de s’allumer en premier lieu s’il était verrouillé.
Les fichiers cryptés par le ransomware Mimic reçoivent l’extension « .QUIETPLACE » et une note de rançon nommée « Decrypt_me.txt » est déposée quelque part sur le système d’un utilisateur. Cette note de rançon explique que les victimes doivent payer les attaquants en Bitcoin pour que leurs fichiers ne soient pas chiffrés. Cependant, il indique également que les attaquants peuvent décrypter seulement certains des fichiers les plus importants d’une victime pour le prix de « 1 fichier = 1 $ ». Cela pourrait en valoir la peine pour les victimes si elles n’ont besoin que de quelques fichiers de leur système verrouillé et prévoient de toute façon de passer à un nouveau PC.
C’est la première fois que nous voyons une souche de ransomware utiliser un outil tiers populaire pour accélérer le processus de cryptage. L’outil de recherche Everything n’a même pas besoin d’être installé sur la machine de la victime, car il est inclus dans l’exécutable malveillant utilisé pour infecter un PC avec Mimic en premier lieu.
Comment se protéger des rançongiciels
Tout comme avec les logiciels malveillants et autres virus, vous devez éviter d’ouvrir les pièces jointes dans les e-mails d’expéditeurs inconnus pour rester à l’abri des ransomwares. De même, vous ne devez pas télécharger de logiciels illégaux ni télécharger de fichiers à partir de sites sans réputation avérée.
Les meilleur logiciel antivirus peut également détecter de nombreux types de rançongiciels avant que votre système ne soit infecté. Cependant, un logiciel antivirus n’est pas en mesure de déverrouiller vos fichiers une fois qu’ils ont été verrouillés par un attaquant utilisant un rançongiciel. Pour cette raison, il est avantageux d’utiliser le meilleur stockage en nuage pour conserver une copie supplémentaire de vos fichiers les plus importants stockés en toute sécurité dans le cloud et le meilleurs services de sauvegarde cloud peut être un choix encore meilleur car il sauvegarde automatiquement vos fichiers.
Si vous êtes victime d’un rançongiciel, cela guide étape par étape peut vous guider tout au long du processus de récupération de vos fichiers. En même temps, Bitdefender et d’autres entreprises de cybersécurité publient souvent outils de déchiffrement des rançongiciels (s’ouvre dans un nouvel onglet) comme il l’a fait pour le Logiciel de rançon Darkside. De cette façon, même si vous n’avez pas d’argent ou ne voulez pas payer de rançon aux cybercriminels, il y a toujours une chance que vous puissiez un jour récupérer vos fichiers.
Quant au rançongiciel Mimic, il s’agit d’une souche relativement nouvelle et nous ne savons pas encore grand-chose sur la façon dont il est utilisé dans les attaques ou qui est derrière. Espérons que nous en saurons plus bientôt.