Tom's Hardware > Actualités > Logiciels, jeux vidéos > Logiciels > Les Ransomware se multiplient

Les Ransomware se multiplient

11:13 - vendredi 28 avril 2006 par David Civera - source: Sophos

Alors que les ransomware étaient initialement réservés aux entreprises, de plus en plus de virus de ce genre font leur apparition sur les bureaux de monsieur et madame Tout-le-Monde. Pour rappel, un ransomware et un fichier malicieux qui prend en otage vos données, généralement en les cryptant par un mot de passe et vous demande d’envoyer de l’argent en échange de la clé qui vous rendra vos données.

Les symptômes

Un nouveau virus de ce type vient de faire son apparition et même la firme de sécurité Sophos reste assez perplexe. En effet, le Troj/Ransom-A prend un fichier de votre système toutes les trente minutes pour les mettre dans un dossier caché. L’ordinateur affiche aussi des pop up contenant des images pornographiques et des messages de pressions du genre « cet ordinateur a-t-il de la valeur ? Vaut mieux pas » ou « Yeah. Nous ne mourons pas, nous nous multiplions, Ctrl+Alt+Suppr ne marche pas vraiment aujourd’hui. »

Une solution ?

Sachez, à titre d’informations, que le Troj/Ransom-A crée le fichier caché winstart.exe dans le dossier démarrage du menu démarrer et les fichiers suivants :

windows\svchost.exe
windows\data3.exe
windows\009.exe
windows\008.exe
windows\007.exe
windows\006.exe
windows\005.exe
windows\004.exe
windows\002.exe
windows\data2.exe
windows\data4.exe
windows\dat1.bat
system\oobe\setup\corpstats.exe

Il crée aussi une entrée dans la base de registre :

HKLM\SOFTWARE\Windows\CurrentVersion\RunOnceEx
cleanup
system\oobe\setup\corpstats.exe

La prévention

Ces fichiers peuvent être effacés sans problème, puisque ce sont ceux crées par le ransomware. Il est, enfin, conseillé aussi de mettre à jour son antivirus et son pare-feu. Vous pouvez aussi payer la somme de 10,99$ aux auteurs du désagrément.

Commentaires

Lire plus

ransomware

Commentaires

Ajouter un commentaire

foliepure 28/04/2006 11:43

Masquer

Je prendrais bien un tisionner brulant pour le mettre profond aux débiles qui créent ce genre de saloperie

Le_Gritche 28/04/2006 12:21

Masquer

"L’ordinateur affiche aussi des pop up contenant des images pornographiques "

Et c'est censé être un désagrément ? :ange:

Bon évidemment si vous faites des présentations powerpoint avec votre ordinateur lors de conférences ça peut être génant, mais sinon c'est une perle ce programme :

- toutes les 30 minutes il capture un fichier -> plus besoin de faire du ménage pour faire de la place sur le disque dur
- popup d'images pornographiques -> 'nuf said
- affichage de messages de pression ridicules -> plus besoin de regarder walker texas ranger pour vous détendre

C'est pour l'installer que je paierais 11 dollars, pas pour m'en débarasser

David Civera 28/04/2006 12:25

Masquer

:lol:

vincmc2 28/04/2006 14:13

Masquer

Comment est-ce qu'un maître chanteur se faisant payer par internet, vous envoyant la clé de décryptage par mail, ne pourrais pas se faire localiser.
Est ce que la police y met vraiment du sien?
On piste les terroriste partout dans le monde, mais si c'est une rançon de 10€ on laisse faire?
Les forces de polices sont de toutes façons coupables de ne pas utiliser les moyens nécessaire pour retrouver les coupables ou de ne pas se doter de ces moyens.

trougnouf 28/04/2006 15:23

Masquer

bah si ils se sont quand meme donnes la peine de me faire venir de floride (a paris) parce que microsoft avait pas apprecie que quelques centaines de noobs aient mis leur mot de passe msn dans ma bdd (ca renvoyait "merci " et certeins le remettaient ^_^)

LoneStar 29/04/2006 16:39

Masquer

"Vous pouvez aussi payer la somme de 10,99$ aux auteurs du désagrément." :ouch: :ouch: :ouch:

:jap: Mais quelle bonne idée!!! par CB, Visa...

foliepure 29/04/2006 18:13

Masquer

ils acceptent paypal?

darkmerlin 30/04/2006 17:53

Masquer

"Vous pouvez aussi payer la somme de 10,99$ aux auteurs du désagrément."

D'où tiens-tu cette info ? Parce que sur Génération-NT (http://www.generation-nt.com/actualites/13126/trojan-demande-rancon-crypter-donnees) ils parlent de rançons de 300 $.

Sinon ça craint un max ces malwares.

foliepure 30/04/2006 19:42

Masquer

bah apres une étude de marché ils se sont apercus que 300$ était trop et ont baissé ^^

David Civera 01/05/2006 11:06

Masquer

Cette info, je la tiens de Sophos qui donne un log des differents messages envoyé par le ransomware (http://www.sophos.com/virusinfo/analyses/trojransoma.html)

et on voit bien le prix de 10,99$ affiché... bref, j'ai plus confiance en Sophos que Gen NT mais bon

lionnel1 02/05/2006 11:28

Masquer

Citation : ils acceptent paypal?

Faut lire la desvcription du bestieau, la "rancon" doit etre envoyée via western union, en d'autres termes le truc est totalement anonyme, il n'y a aucun moyen de retrouver l'escroc, d'ou l'absence d'arestation.

Au passage cela demontre bien que western union meriterait franchement etre rayé de la carte, il faut voir le nombre d'escroquerie qui transitent par ce systeme, les dirigeants le savent depuis des annéres mais ne font absolument rien pour les enrayer

darkmerlin 06/05/2006 00:58

Masquer

En fait j'ai trouvé d'où viennent les 300 $ mentionnés par Génération NT. Le 15 mars 2006, Sophos avait découvert le cheval de Troie Troj/Zippo-A, un ransomware également, qui demandait une rançon de 300 $ (http://www.sophos.com/pressoffice/news/articles/2006/03/zippo.html).