Des cybercriminels ont caché un rançongiciel dans un outil censé lever le chiffrement du rançongiciel StopDjvu.

Double peine pour les victimes du rançongiciel Stop Djvu. Un faux outil de décryptage ajoute un second chiffrement aux données déjà compromises par le logiciel malveillant, au lieu de retirer le chiffrement déjà existant. Les victimes doivent alors payer deux rançons — ou trouver deux outils de décryptage — si elles veulent remettre la main sur leurs données.

C’est Michael Gillespie qui a sonné l’alerte sur son compte Twitter. Ce développeur, figure de la lutte contre les rançongiciels, est enfin parvenu à créer un outil (gratuit) pour déchiffrer Stop Djvu l’an dernier. Mais les cybercriminels ont adapté leur logiciel malveillant, désormais indécryptable dans ses versions les plus récentes. « Ne croyez rien qui affirme qu’il peut décrypter Djvu sauf si ça vient de MOI », peste Gillespie.

Le rançongiciel Zorab se fait passer pour un outil d’aide aux victimes de rançongiciel. // Source : Meme par Numerama

Les cybercriminels s’en prennent aux victimes d’un rançongiciel répandu

Stip Djvu vise les particuliers en se faisant passer pour des logiciels piraté. Vous pensez mettre la main sur une licence Photoshop gratuite, mais à la place, un message s’affiche sur l’écran : vous avez téléchargé un logiciel malveillant, toutes vos données ont été chiffrées, et vous devez contacter un numéro de téléphone pour payer une rançon (de quelques centaines à plusieurs milliers d’euros) si vous voulez les récupérer grâce à la clé de déchiffrement.

Stop Djvu attire moins l’attention que Maze, Sodinokibi ou DoppelPaymer, qui visent des grandes entreprises et réclament des centaines de milliers d’euros. Mais il était l’an dernier le plus répandu parmi les 867 rançongiciels reconnus par le site de référence ID-Ransomware.

Un rançongiciel nommé Zorab

Puisque les victimes ont contracté le virus informatique en s’essayant au téléchargement illégal, elles sont moins susceptibles de chercher de l’aide auprès des autorités, et hésitent moins à payer la rançon. Ou alors, elles partent à la recherche d’outil de décryptage gratuit, ce qui les amène à télécharger l’outil frauduleux.

Elles vont télécharger l’outil puis cliquer sur « démarrer le scan ». C’est alors qu’un second fichier, nommé « crab.exe » va être exécuté, relève le Bleeping Computer. Derrière ce fichier se trouve le rançongiciel baptisé « Zorab » par Michael Gillespie, car les données chiffrées prennent le format .zrb.

Un outil de décryptage contre le faux outil de décryptage en préparation

Dans le lot téléchargé, les rançonneurs laissent également une note expliquant que les données ont été chiffrées et qu’eux seuls possèdent la clé de déchiffrement. Ils invitent les victimes à les contacter par email, et à leur faire confiance pour honorer leur parole : « C’est juste un business ». Pour preuve, les personnes affectées peuvent faire déchiffrer gratuitement deux fichiers. Ironiquement, les rançonneurs concluent leur note par un avertissement qui va à l’encontre de leur business : « N’utilisez pas de logiciels tiers pour restaurer vos données. »

On peut se demander qui va payer pour déchiffrer des données déjà chiffrées, mais les cybercriminels veulent en faire leur gagne-pain. De son côté, Michael Gillespie avance que Zorab est décryptable, et nul doute qu’il travaille déjà sur un outil. Lawrence Abrams, le fondateur du BleepingComputer, expliquait que 90 % des outils de déchiffrements mis à disposition gratuitement sur son site ont été développés par Gillespie. Soit plus de 300 000 téléchargements.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux