Il y a un nouveau ransomware, qui cible les ordinateurs des victimes au moyen de fichiers PDF téléchargeables. Il faut faire preuve de la plus grande précaution lors du téléchargement de fichiers PDF provenant d’expéditeurs inconnus.
Qu’est-ce que GandCrab ?
La menace imminente est apparue après que LMNTRIX, une société de cybersécurité australienne, ait publié un rapport affirmant qu’un rançongiciel nouvellement conçu surnommé « GandCrab » est promu sur le Dark Web en tant que service. Le contenu de la campagne promotionnelle est en russe, a ajouté l’agence de sécurité.
Si le terme ransomware ne vous dit rien, il est grand temps d’enquêter. Bien qu’il soit relativement nouveau, il est également considéré comme l’une des pires formes de logiciels malveillants que vous risquez de rencontrer.
En cas de violation de l’ordinateur de la victime, un ransomware crypte le contenu de l’ordinateur, le rendant inaccessible. La seule façon dont la victime peut espérer retrouver l’accès à son contenu est de payer une rançon conséquente.
Selon le rapport de LMNTRIX, GandCrab est développé de telle sorte que n’importe qui peut l’acheter en ligne à travers un marché noir du Dark Web. Une fois l’achat effectué, l’acheteur devient membre du réseau étendu de GandCrab. Tout argent gagné est ensuite réparti entre les développeurs et les membres selon un ratio de 60:40.
Cependant, les membres ont la possibilité d’augmenter leurs parts jusqu’à 70% s’ils sont en mesure de violer un grand nombre d’ordinateurs avec succès.
Il y a quelques conditions à remplir avant que les agents puissent commencer. Pour utiliser le rançongiciel, les membres doivent s’enregistrer auprès du réseau et postuler. En outre, il est également interdit aux membres de cibler les utilisateurs des pays de l’ex-République soviétique, y compris la Communauté des États indépendants (CEI).
Comment fonctionne GandCrab ?
Le rapport LMNTRIX indique que GandCrab utilise les exploit kits RIG et GrandSoft pour diffuser et cibler les ordinateurs. Cette technique est quelque peu unique étant donné que les exploit kits sont traditionnellement associés à des logiciels malveillants tels que les chevaux de Troie et les crypto-mineurs.
Il n’y a aucun rapport connu concernant d’autres rançongiciels dépendant d’exploit kits pour diffuser et infecter. Encore plus surprenant, l’exploit kit utilisé par GandCrab aurait disparu depuis un certain temps.
Le rapport LMNTRIX prétend également que les serveurs du ransomware utilisent un domaine .bit. Cette information est intéressante étant donné que le domaine .bit n’est pas inclus dans le DNS ICANN traditionnel autorisé et exige que tous les paiements soient traités en utilisant des crypto-monnaies.
Parmi les crypto-monnaies prétendument demandées, Dash semble être le gage de choix, car il offre un degré plus élevé d’anonymat par rapport à la plupart des autres crypto-monnaies.
Chaque token Dash équivaut à environ 740 $, et le rançongiciel GandCrab demande 1.5 Dash à ses victimes, ce qui équivaut à environ 1 100 $. Si la victime ne paie pas la rançon dans les délais prévus, le prix de la rançon double.
Pour en savoir plus:https://crypto-analyse.org/2018/02/18/un-ransomware-dash-dorigine-russe-infecte-des-fichiers-pdf/