DJVU/STOP : faux décrypteur, vrai ransomware

DJVU/STOP : faux décrypteur, vrai ransomware

Face à une attaque de ransomware, le remède peut parfois se révéler pire que le mal. Un chercheur en sécurité a ainsi signalé la semaine dernière un nouveau programme malveillant se faisant passer pour un décrypteur du ransomware DJVU/STOP, un ransomware très actif et qui vise les particuliers. Michael Gillespie, chercheur indépendant en sécurité et spécialisé dans la lutte contre les ransomwares, attirait l’attention sur ce programme malveillant dans un tweet en fin de semaine dernière. Ce programme malveillant, baptisé Zorab, se présente sous la forme d’un décrypteur : un type de programme qui exploite les failles logicielles dans la conception d’un ransomware pour décrypter les fichiers de la victime sans que celui-ci ait besoin de récupérer la clé de chiffrement auprès des attaquants.

Zorab ne vous tirera pas d’affaire, au contraire : le chercheur explique que celui-ci chiffre une seconde fois les données des victimes, et dépose sur l’ordinateur une note demandant à l’utilisateur de payer une rançon pour décrypter les fichiers en question. Pour la victime, c’est donc la double peine : il lui faudrait payer une première fois pour déchiffrer les données rendues inaccessibles par le ransomware Zorab, puis une deuxième fois pour déchiffrer le chiffrement de DJVU/STOP. Le groupe derrière DJVU/STOP attire moins l’attention que des acteurs malveillants tels que Maze ou Dopplepaymer, mais ce ransomware est aujourd’hui l’un des plus actifs. Selon Emisoft, Stop/DJVU représentait en fin d’année 2019 plus de 56 % des fichiers uploadés sur la plateforme ID Ransomware, caracolant en tête du classement. Comme l’explique Bleeping Computer, les opérateurs de ce ransomware s’en prennent plus volontiers aux particuliers et demandent des sommes oscillant entre 500 et 1 000 dollars pour obtenir la clé de déchiffrement.

publicité

Double peine

Les cybercriminels à l’origine de Zorab ont soigneusement choisi leur cible : plusieurs décrypteurs sont en effet proposés par des entreprises de sécurité pour décrypter les fichiers chiffrés par des anciennes versions du ransomware DJVU/STOP. Au mois de mars, Emsisoft avait ainsi publié plusieurs décrypteurs afin d’aider les victimes de ce ransomware. Mais le jeu du chat et de la souris se poursuit depuis plusieurs mois : lorsque les éditeurs publient un décrypteur, les auteurs du ransomware diffusent une nouvelle version de leur ransomware. Dans cette jungle, il est donc facile pour un tiers de profiter de la multiplication des décrypteurs pour diffuser son propre ransomware en le faisant passer pour un outil de déblocage des fichiers.

Pour se procurer des outils de décryptage, mieux vaut donc faire preuve de prudence : on peut recommander l’initiative NoMoreRansom mise en place par Europol et plusieurs sociétés antivirus afin de centraliser les décrypteurs et utilitaires luttant contre les ransomwares. On peut également se rendre directement sur les sites officiels d’éditeurs connus de solutions antivirus, tels que Kaspersky ou Emsisoft. Des décrypteurs pour les anciennes versions de DJVU/STOP sont disponibles, mais les analyses sont encore en cours pour parvenir à développer des outils similaires pour Zorab. La meilleure parade reste évidemment d’avoir des sauvegardes à jour, mais cela se révèle bien souvent plus facile à dire qu’à faire.

Leave a Reply

Your email address will not be published. Required fields are marked *