0
1
Certains cybercriminels n’ont vraiment aucun scrupule et profitent souvent des événements les plus dramatiques pour s’enrichir. Dernièrement, le site MalwareHunterTeam a découvert le ransomware RansSIRIA. Comme son nom l’indique, il profite de la crise des réfugiés syriens. Il s’agit d’une variante du ransomware WannaPeace.
COMMENT FONCTIONNE RANSSIRIA ?
RansSIRIA se manifeste en affichant une fausse fenêtre Word qui s’ouvrira lentement pendant que malware chiffre les fichiers de l’utilisateur.
Image publiée initialement sur le compte Twitter de @MalwareHunterTeam
Une fois les fichiers verrouillés, il affichera la fenêtre suivante qui invite la victime à payer une rançon qui sera utilisée pour aider les réfugiés syriens. Le texte est rédigé en portugais, d’ailleurs le ransomware cible particulièrement le Brésil.
Voici un extrait traduit :
« Désolé, vos fichiers ont été verrouillés […]
Nous sommes une idée. Une idée qui ne peut être contenue, poursuivie ou emprisonnée.
Des milliers d’êtres humains sont maintenant gouvernés, blessés, affamés et souffrants […]
Mais malheureusement, des mots ne suffiront pas pour changer la situation de ces êtres humains….
Nous ne voulons pas vos fichiers ou que vous les endommagez…. Nous ne voulons qu’une petite contribution….
Rappelez-vous qu’en contribuant, vous ne serez pas seulement en train de récupérer vos fichiers… Mais que vous aiderez aussi à restaurer la dignité de ces victimes… »
Lorsque la victime décide de payer pour récupérer ses fichiers, le ransomware ouvre une URL Google raccourcie qui pointe vers une page web du site de l’ONG humanitaire Worldvision détaillant le quotidien des réfugiés syriens.
PROFITER D’UN DRAME HUMAIN
Les hackers derrière ce ransomware vont encore plus loin en affichant également une série d’images de la guerre ainsi qu’une poignante vidéo Youtube montrant ses dégâts sur la vie d’une enfant. Comme vous vous en doutez, les rançons perçues ne sont pas redistribuées sous forme de dons aux réfugiés. Les développeurs de ce ransomware tentent uniquement de profiter de ce drame.
Il est probable que le ransomware soit toujours en développement et qu’il ne soit pas encore distribué à grande échelle. Selon le site BleepingComputer qui a consulté les statistiques de Google, le lien vers l’article de Worldvision a été créé le 15 mars dernier. Depuis cette date, 33 clics ont été enregistrés (18 au Brésil). Il est toutefois difficile de savoir s’il s’agit de clics de victimes.
Si vous êtes confronté à ce logiciel ou à l’une de ses variantes, comme pour tous les autres ransomware, il est fortement recommandé de ne pas payer la rançon demandée et d’attendre la mise à disposition d’outils de déchiffrement.
Pour en savoir plus:
