Rihards
L’un s’en va, un autre prend sa place. Nos confrères de Bleeping Computer, en arpentant les sites .onion, sont tombés sur une publicité vantant les mérites du ransomware Goliath, lequel serait d’ailleurs une occasion à saisir, à 2100 $ le programme, soit près de 30 % de ristourne par rapport au concurrent renommé qu’est Locky. Bon sang ne saurait mentir, estime l’auteur de l’article Lawrence Abrams, car nombre d’indices rattachent le site annonçant le lancement de ce malware à un autre virus chiffreur qui a fait ses preuves, Jigsaw. Mais, ajoute Abrams avec prudence, d’autres éléments (et notamment une clef de déchiffrement visant le concurrent Locky vendue à des tarifs inimaginables) laissent à penser que Goliath ne serait qu’une tentative d’escroquerie visant les acheteurs de cryptovirus. Le truand est un loup pour le truand
Mais l’aristie du faux auteur de cryptovirus, l’acmé de la cyber-escroquerie, c’est lorsque le malware bloque non plus des fichiers, mais l’ordinateur tout entier tout en prenant l’apparence d’une erreur système (Bsod ou mise à jour Windows ayant mal tourné). Lequel malware ne peut être éliminé que contre payement d’un service de télémaintenance (une rançon) versée à un téléopérateur utilisant force Skype et logiciel de prise de contrôle à distance –Teamviewer et non une cession RDP-, installé miraculeusement par ledit malware.
Le déroulement de l’escroquerie, accompagné d’une impressionnante collection de captures d’écran, est détaillé par Jérôme Segura, de l’équipe Malwarebytes. On peut noter au passage que les « instructions » pas à pas données par ces pseudo-techniciens Microsoft tiennent compte de toutes les situations possibles. Y compris le chapelet d’insultes qui ne varie pas d’un iota lorsque, « baladé » par un usager au courant de ces pratiques, l’escroc se rend compte que son correspondant s’amuse à ses dépens.
Parfois, les histoires de cryptovirus se terminent bien. Sean Sullivan, du Response Team de F-Secure, nous livre une rapide analyse d’une version hackée de Locky, laquelle non seulement annihile les effets destructeurs du ransomware, mais en outre affiche un écran d’avertissement prévenant l’usager qu’il n’est pas très prudent d’ouvrir n’importe quelle pièce attachée. Oh ! combien de RSSI, combien de CSO, qui sont partis nombreux pour des courses à la sensibilisation, dans cette sombre illusion se sont évanouis. Il y a moins de 15 jours, c’était l’équipe d’Avira, en la personne de Sven Carlsen, qui signalait une autre souche de Locky délocké.
