Un nouveau virus décide si votre ordinateur doit payer une rançon ou miner de la cryptomonnaie

Les chercheurs en sécurité ont découvert un malware intéressant qui infecte les systèmes avec un mineur de ou un , en fonction de leurs configurations pour décider lequel des deux systèmes pourrait être le plus rentable. Alors que le est un type de malware qui verrouille votre ordinateur et vous empêche d’accéder aux données chiffrées jusqu’à ce que vous payez une rançon pour obtenir la clé de déchiffrement nécessaire pour décrypter vos fichiers, les mineurs de cryptomonnaie utilisent la puissance du processeur infecté pour miner les devises numériques.

Double pénalité avec le Ransomware et le minage illégal de cryptomonnaie

Les attaques basées sur des rançongiciels et le minage de cryptomonnaies ont été les principales menaces en 2018 et ils partagent de nombreuses similitudes telles que les attaques non sophistiquées et une demande de rançon déraisonnable. Cependant, comme le verrouillage d’un ordinateur pour une rançon ne garantit pas toujours un remboursement au cas où les victimes n’auraient rien à perdre, les cybercriminels se sont tournés ces derniers mois vers le minage frauduleux de cryptomonnaie. Les chercheurs de Kaspersky Labs ont découvert une nouvelle variante du Ransomware Rakhni , qui a été améliorée pour inclure également la capacité de minage de crypto-monnaie.

Écrit en langage de programmation Delphi, le malware Rakhni est diffusé en utilisant des courriels de phishing avec un fichier MS Word dans la pièce jointe, qui, s’il est ouvert, invite la victime à enregistrer le document et permettre l’édition. Le document inclut une icône PDF qui, si on clique dessus, lance un exécutable malveillant sur l’ordinateur de la victime et affiche immédiatement une fausse boîte de message d’erreur lors de l’exécution, incitant les victimes à penser qu’un fichier système requis pour ouvrir le document est manquant.

Comment le Malware choisit entre la rançon et le minage ?

Cependant, en arrière-plan, le effectue ensuite de nombreuses vérifications anti-VM et anti-sandbox pour décider s’il peut infecter le système sans être intercepté. Si toutes les conditions sont remplies, alors le effectue davantage de vérifications pour décider de l’infection finale, c’est-à-dire, le ransomware ou le mineur.

1.) Installe Ransomware-si le système cible possède un dossier ‘Bitcoin’ dans la section AppData.

Avant de chiffrer des fichiers avec l’algorithme de cryptage RSA-1024, le programme malveillant met fin à tous les processus correspondant à une liste prédéfinie d’applications courantes, puis affiche une note de rançon via un fichier texte.

2.) Installe le logiciel de crypto-monnaie si le dossier ‘Bitcoin’ n’existe pas et que la machine possède plus de deux processeurs logiques.

Si le système est infecté par un mineur de crypto-monnaie, alors il utilise l’utilitaire MinerGate pour extraire les cryptomonnaies Monero (XMR), Monero Original (XMO) et Dashcoin (DSH) en arrière-plan.

certificats racine

En outre, le logiciel malveillant utilise l’utilitaire CertMgr.exe pour installer les faux certificats racine qui prétendent avoir été émis par Microsoft Corporation et Adobe Systems Incorporated dans le but de déguiser le mineur en tant que processus de confiance.

3.) Active le composant de ver s’il n’y a pas de dossier ‘Bitcoin’ et juste un processeur logique.

Ce composant aide le logiciel malveillant à se copier sur tous les ordinateurs situés sur le réseau local à l’aide de ressources partagées.

Pour chaque ordinateur listé dans le fichier, le cheval de Troie vérifie si le dossier Users est partagé et, si c’est le cas, le malware se copie dans le dossier \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup de chaque utilisateur accessible.

Quelle que soit l’infection choisie, le logiciel malveillant vérifie si l’un des processus antivirus répertoriés est lancé. Si aucun processus AV n’est trouvé dans le système, le programme malveillant exécutera plusieurs commandes cmd pour tenter de désactiver Windows Defender.

Une fonctionnalité de Spyware en plus

“Un autre fait intéressant est que le logiciel malveillant a également une certaine fonctionnalité de spyware – ses messages incluent une liste de processus en cours et une pièce jointe avec une capture d’écran,” disent les chercheurs.

Cette variante de logiciel malveillant cible principalement les utilisateurs en Russie (95,5%), tandis qu’un petit nombre d’infections a été observé au Kazakhstan (1,36%), en Ukraine (0,57%), en Allemagne (0,49%) et en Inde (0,41%).

Source

Houssen Mohsinaly

Houssen Mohsinaly

Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *