Ransomware : Le trojan ArchiveLock est de retour en France

0
83

Le trojan ArchiveLock, de la famille des ransomwares,  fait son grand retour en France. C’est Doctor Web qui alerte au sujet du retour du malware rançonneur de type police/gendarmerie.

La propagation du Trojan-encodeur Trojan.ArchiveLock prend une tournure qui inquiète l’éditeur. La modification du Trojan.ArchiveLock.20 attaque un nombre croissant d’utilisateurs en France et en Espagne. Ce malware utilise le logiciel d’archivage WinRAR pour encoder des fichiers. Les cybercriminels utilisent un logiciel permettant de rechercher automatiquement des variantes pour trouver les mots de passe de l’ordinateur de la victime via le protocole RDP. Une fois connecté à l’ordinateur, ils lancent le Trojan. Après avoir pris le contrôle de la machine, Trojan.ArchiveLock.20 copie l’application de cryptage dans un des dossiers système.

Le Trojan.ArchiveLock.20 établit ensuite une liste de fichiers encodés, efface la corbeille et les copies de sauvegarde des données. L’encodeur lance l’application WinRAR en ligne de commande et compresse les fichiers selon une liste pré-configurée dans une archive SFX protégée par mot de passe. En même temps, les fichiers originaux sont supprimés à l’aide d’un utilitaire spécial, ce qui rend impossible la restauration des objets supprimés.

archivelock20.1

Le mot de passe peut avoir une longueur supérieure à 50 caractères. Puis le Trojan.ArchiveLock.20 affiche sur l’écran de l’ordinateur infecté un message demandant 5000 USD pour recevoir le mot de passe nécessaire à la décompression des fichiers. Pour le ” support technique “, le Trojan propose de s’adresser aux adresses e-mails suivantes:

  • sec777999@gmail.com,
  • sec222555@gmail.com,
  • sec333888@gmail.com,
  • sec333888@gmail.com,
  • ausec222999@gmail.com,
  • sec777999@gmail.com,
  • casec222777@gmail.com,
  • auidhelp@gmail.com,
  • sec777999@gmail.com,
  • sec222555@gmail.com,
  • sec333888@gmail.com,
  • ausec222999@gmail.com,
  • casec222777@gmail.com,
  • auidhelp@gmail.com,
  • usidhelp2@gmail.com,
  • frsechelp@gmail.com,
  • spainsec1@gmail.com,
  • spainsec2@gmail.com.

 

Crédits image : Flickr, Pedronchi