Une nouvelle souche de ransomware se présente comme une mise à jour pour Windows, obligeant les internautes individuels à payer environ 2 500 $ en échange du retour en toute sécurité de leurs données.
Telles sont les conclusions d’une enquête menée par HP Wolf Security, dont les experts ont découvert que le rançongiciel Magniber était distribué en septembre de cette année via un site Web appartenant aux attaquants.
Le site incite les victimes à télécharger une archive .ZIP, qui contient un fichier JavaScript qui se fait passer pour un antivirus important ou une mise à jour logicielle Windows 10.
Cryptage silencieux
Une fois que la victime exécute le fichier, Magniber fait plusieurs choses, notamment exécuter le ransomware en mémoire, contourner le contrôle de compte d’utilisateur (UAC) dans Windows (des privilèges d’utilisateur administrateur sont nécessaires) et utiliser des appels système au lieu des bibliothèques d’API Windows standard. Toutes ces choses permettent à Magniber d’exécuter le cryptage sans déclencher d’alarmes.
Le logiciel malveillant supprime également les fichiers de clichés instantanés et désactive les fonctions de sauvegarde et de récupération de Windows, pour s’assurer que les victimes n’ont d’autre choix que de payer la rançon ou de dire au revoir à leurs fichiers.
Habituellement, les opérateurs de rançongiciels ciblent les entreprises plutôt que les particuliers. En s’attaquant à de plus grandes entités, ils s’assurent que les appareils de cryptage causent de réels dommages et obligent les organisations à payer la demande de rançon. Cependant, cela ne rend pas Magniber moins dangereux ou dévastateur, disent les chercheurs.
Comme d’habitude, les utilisateurs sont invités à faire attention à ce qu’ils téléchargent et à se méfier de chaque e-mail, SMS ou numéro de téléphone provenant d’un expéditeur inconnu. Les experts avertissent également les utilisateurs de maintenir leurs ordinateurs à jour et d’installer des programmes antivirus, des pare-feu et d’autres mesures de sécurité. Enfin, les utilisateurs ne doivent pas partager leurs mots de passe et autres mécanismes d’authentification avec qui que ce soit, amis, famille et collègues inclus.