Le ransomware Bitcoin se propage désormais via des campagnes de spam

Les sociétés de sécurité McAfee Labs et Symantec ont émis des avertissements selon lesquels un type de ransomware exigeant des bitcoins, CTB-Locker, est désormais propagé via des campagnes de spam.

Le malware, dont le nom signifie « Curve Tor Bitcoin Locker », a été identifié pour la première fois l'année dernière. Cependant, la méthode de diffusion par spam semble relativement récente.

McAfee a publié sondernier avisla semaine dernière, décrivant CTB-Locker comme une forme de ransomware qui crypte les fichiers sur l'ordinateur cible. Des preuves anecdotiques suggèrent que les fichiers image .jpg sont une cible fréquente. La victime doit ensuite payer une rançon pour que les fichiers soient décryptés.

Symantec a déclaré dans un récent blog

que le processus de gestion des logiciels malveillants Crypto est « particulièrement désagréable à gérer ».

Comment ça marche

Lors de l'installation, CTB-Locker injecte du code malveillant dans le fichier « svchost.exe », créant une tâche planifiée pour déplacer et crypter les fichiers.

Le logiciel malveillant crypte les fichiers compromis à l'aide d'un cryptage à courbe elliptique, qui semble être équivalent au cryptage RSA avec une clé de 3 072 BIT .

Une fois le cryptage terminé, l'utilisateur est informé de l'attaque via un message de rançon contextuel.

Le message affiche un compte à rebours de 96 heures. Si l'utilisateur ne paie pas la rançon en Bitcoin dans les 96 heures, la clé de déchiffrement est détruite et les fichiers restent chiffrés de manière permanente.

La fenêtre contextuelle permet à l'utilisateur de voir la liste des fichiers cryptés, ainsi que des informations sur la manière d'effectuer un paiement et d'obtenir le code de décryptage.

Vecteurs de détection, d'infection et de propagation

McAfee détecte CTB-Locker sous trois noms différents : BackDoor-FCKQ, Downloader-FAMV et Injector-FMZ. Symantec identifie la charge utile finale comme étant Trojan.Cryptolocker.E.

Le malware se propage via des campagnes de spam, sous la forme d'une archive .zip stockée dans un autre fichier .zip. Le fichier zippé contient le téléchargeur de CTB-Locker.

Jusqu'à présent, les chercheurs ont découvert les noms suivants utilisés pour stocker le téléchargeur :

• malformé.zip
• plénitude.zip
• inquires.zip
• simoniac.zip
• faltboat.zip
• incurablement.zip
• charges utiles.zip
• dessiatine.zip

Outre les pratiques de sécurité standard (par exemple : ne pas ouvrir de fichiers .zip provenant de sources non fiables), McAfee a publié un certain nombre de recommandations pour atténuer la menace à l'aide des produits McAfee.

Le blog Symantec propose également des informations utiles sur CTB-Locker pour les utilisateurs de produits de sécurité Symantec.

Si les victimes refusent ou ne peuvent pas payer la rançon, il est pratiquement impossible de récupérer les fichiers chiffrés. La meilleure façon de réduire l'impact d'une éventuelle attaque par rançongiciel Crypto est de sauvegarder régulièrement ses fichiers importants.

Fenêtre contextuelle CTB-Lockerimage via Symantec ;Image de spamvia Shutterstock.