Publié le 27-02-2012 à 00:48:15 dans le thème Virus - Antivirus

Pays : Belgique - Auteur : La rédaction

Pub : Tous les logiciels anti-spam gratuits disponibles sur Internet

Après la Russie, l´Allemagne, le Royaume-unis et la France, voici que le logiciel maître chanteur eCops débarque en Belgique. eCop, un logiciel malveillant (malware), refait parler de lui. Ce ransomware/rançongiciel vient de sortir sa frite du côté de la Belgique. Sa mission, tenter de soutirer de l’argent aux sujets de sa gracieuse majesté Belge. Le logiciel pirate se fait passer pour le centre d’appel belge pour les abus internet 'eCops'. Selon Luc Beirens, porte parole de la Federal Computer Crime Unit, les cyber-policiers belges, la plupart des victimes ont déclaré avoir été contaminées alors qu’ils participaient à des jeux en ligne. Le microbe une fois dans la place bloque l'ordinateur. La FCCU enquête.

Dans la famille rançonneur...
Prendre des données en otage est un procédé connu dans le domaine de la cybercriminalité. Il ne date d'ailleurs pas d'hier. Parmi les plus courants, W32/DatCrypt. Il infecte un ordinateur, certains fichiers comme des documents Microsoft, la musique ou les images. Ils semblent avoir été infectés alors qu’en réalité, les fichiers ont été chiffrés par DatCrypt. Ensuite, le cheval de Troie crée un message semblable à une authentique boîte de dialogue provenant de Windows conseillant à l’utilisateur de télécharger et d’exécuter le « logiciel de réparation conseillé » appelé Data Doctor 2010. Si ce fichier est téléchargé puis exécuté, l’utilisateur reçoit un message expliquant que ce dernier « ne peut réparer qu’un seul fichier avec la version gratuite ». Afin de nettoyer – ou plus précisément déchiffrer – davantage de fichiers, l’utilisateur doit acheter la solution au prix de 89,95 $. Une fois le montant payé, l’utilisateur a de nouveau accès à ses fichiers. Ce cheval de Troie fonctionne d’une manière tout-à-fait vicieuse. L’utilisateur sera très probablement heureux de pouvoir à nouveau accéder à ses fichiers sans réaliser qu’il a dû payer une rançon pour récupérer ses propres données. L’utilisateur ira peut-être même jusqu’à recommander à ses amis ce qu’il pense être une excellente solution de restauration de données. Des procédés similaires de demande de rançon concernaient notamment le logiciel File Fix Pro. Ce type d’arnaque n’est viable que si l’utilisateur n’a pas sauvegardé ses données sensibles à un autre emplacement.

Autre rançonneur informatique, Sinowal.FY. Un cheval de Troie qui crypte les fichiers des utilisateurs afin qu'ils ne puissent pas y accéder. Il leur demande ensuite une rançon en échange d'un outil et la clé de décryptage leur permettant de décrypter leurs fichiers. Lorsqu'il atteint un ordinateur, Sinowal.FY crée un fichier texte présentant ses exigences : si l'utilisateur ne donne pas 300 $ à l'auteur du malware, il ne pourra pas récupérer les fichiers pris en otage. Le plus connu de ces malveillants, Ransom.A et les variantes de la famille PGPCoder, spécialisée dans ce domaine. Arhiveus.A est probablement un des cas les plus curieux, puisqu'il ne demande aux utilisateurs de donner de l'argent mais d'acheter des produits sur un magasin en ligne.

Gpcode, existe dans de nombreuses versions. Il chiffre aussi les fichiers de différents types (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h et autres) à l'aide d'un algorithme de codage RSA fonctionnant avec une clé de 1024 octets. En 2006, la longueur maximale de la clé RSA que des spécialistes avaient pu « déchiffrer » était de 660 bit. Pour rappel, l'identification d'une clé de cette longueur à l'aide d'un ordinateur doté d'un processeur de 2,2Ghz prend 30 ans. Après ce crack, l'auteur de Gpcode patientra près d'un an (Juillet 2007) avant de créer une nouvelle version plus performante de son virus, débarrassé des anciennes erreurs et exploitant une clé encore plus longue (1024 bit). Seule une clé secrète, qui pour l'instant se trouve vraisemblablement en la possession de l'auteur du virus uniquement, permet de déchiffrer les objets cryptés par Virus.Win32.Gpcode.ak. Ce code malveillant ajoute la signature _CRYPT aux fichiers cryptés et place le fichier !_READ_ME_!.txt dans le répertoire système. Ce fichier, signé d'un groupe connu sous le pseudonyme de Glamorous team informait l'utilisateur du chiffrement des fichiers et proposait d'acheter le décodeur auprès de l'individu mal intentionné. Le texte complet du message dit ceci : "Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com" [Traduction - Vos fichiers sont chiffrés par un algorithme RSA-1024. Pour restaurer vos fichiers vous devez acheter notre décodeur. Pour acheter le décodeur, contactez-nous à l'adresse ********@yahoo.com.]. Parmi les variante de PGPCoder, Cryzip.

Bref, des attaques qui ne sont pas nouvelles. En 1989, l'un des premiers articles de ZATAZ traitait de "Aids Info Disk", un rançongiciel de la premiere heure.

# Liens connexes

Le Vif

Tweet

Le XSS Twitter fait encore des dégâts

19-05-2013 à 10:10 - 0 commentaire(s)

Plusieurs comptes Twitter du journal Financial Times piratés par la Syrian Electronic Army.

Big Brothers Awards, le 26 juin 2013

19-05-2013 à 00:56 - 0 commentaire(s)

Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil.

Cisco corrige une faille... en fait non !

18-05-2013 à 17:59 - 0 commentaire(s)

Un jeune internaute de 14 ans aide Cisco à corriger une faille. Cisco corrige... à moitié !

Opération anti Anonymous en Italie

18-05-2013 à 17:18 - 0 commentaire(s)

La police italienne a lancé l'opération Tango Down à l'encontre d'internautes soupçonnés d'avoir piraté des sites gouvernementaux sous la signature d'Anonymous.

Les Anonymous veulent libérer l'Internet Belge

18-05-2013 à 17:05 - 0 commentaire(s)

Des hacktivistes, sous la bannière Anonymous Belgium, annoncent vouloir libérer le web royal le 15 juin prochain.

Microsoft espionnerait-il via Skype ?

18-05-2013 à 16:59 - 0 commentaire(s)

Le rachat de Skype par Microsoft est-il un moyen pour l'Oncle Sam de pouvoir espionner les utilisateurs de l'outil de téléphonie via Internet ?

Un loup, des mules et des pigeons

18-05-2013 à 16:50 - 0 commentaire(s)

Contrat de travail, salaire... mais derrière cet emploi Internet proposé sous le nom de la marque Roche Bobois se cache une arnaque.

Spieldberg parle du piratage de film

15-05-2013 à 12:59 - 0 commentaire(s)

Pour le réalisateur américain Steven Spielberg, président du jury du festival de Cannes, le Piratage est une artère tranchée.

Code malveillant dans le site Ministère du Travail U.S.

Le Ministère du Travail américain infiltré. Des traces de hackers Chinois retrouvés. Analyse !

Serveur Apache attaqués par un nouveau virus

Découverte d'une faille dans les serveurs Apache exploitée par un virus informatique de type worm.

XSS Worm : fonctionnement d'une arme numérique

XSS W0rm, quand le cross-site Scripting devient une arme incontrôlable.

Un pirate utilise l'attentat de Boston

Un pirate informatique profite de l'attentat de Boston pour espérer piéger des internautes.

Pot2Miel : le chasseur de malwares

Le site collaboratif Pot2Miel propose de chasser les malwares pour mieux protéger l'Internet des malveillants.

vSkimmer, le vilain venu de Russie

Depuis quelques semaines, un nouveau cheval de Troie, vSkimmer, attire les regards des chasseurs de pirates. Un dangereux vilain ?

Voltairenet.org dangereux

Le site Internet du réseau Voltaire annoncé comme dangereux par le système de sécurité de Google.

Le site du Sénat utilisé dans une attaque informatique

Le site Internet officiel du Sénat américain utilisé dans une attaque numérique. Des milliers de machines piégées en une semaine.

Réagissez à ce contenu