Les chercheurs de sécurité à Check Point ont surveillé cette campagne et ont observé qu’elle cible pour le moment les Allemands avec des emails contenant un message court du demandeur d’emploi. Bien évidemment afin que le tour soit joué, l’email livre également deux pièces jointes. La première n’est rien d’autre qu’un fichier PDF de la lettre de motivation. Ce fichier n’est pas malicieux en soi et son but est donc mettre en assurance le destinataire. La seconde pièce jointe contient un fichier Excel avec des macros malicieuses. Après son ouverture, l’utilisateur tombe sur une image d’une fleur avec le mot “Loading…” au-dessous et un texte en allemand demandant aux victimes d’autoriser le contenu pour que les macros puissent s’exécuter.
Une capture d’écran de l'email
Le fichier PDF contenant la lettre de motivation, il n'est pas malicieux
Les fichiers Excel sont nommés de la même façon, d'abord le nom du candidat présumé suivi du mot "candidature" en allemand (“Bewerbung”):
La requête du ficher Excel pour autoriser le contenu et exécuter les macros
Le processus de chiffrement
Après que l’utilisateur clique sur le bouton “autoriser la modification”, le code inclus avec la macro s’exécute et initie le processus de chiffrement des fichiers. GoldenEye se charge alors d’ajouter une extension de 8 caractères à chaque fichier chiffré et lorsqu’il finit sa besogne, un message “YOUR_FILES_ARE_ENCRYPTED.TXT” est affiché à l’utilisateur qui se trouve dans l’incapacité d’accéder aux fichiers. Enfin le ransomware force l’ordinateur à redémarrer et commence le chiffrement du disque dur. Cette étape rend impossible l’accès à tout fichier stocké dans le disque dur. Durant le processus de chiffrement du disque de stockage, la victime voit un faux écran “chkdsk”, le même que les autres variantes antérieures de Petya.
Le faux écran “chkdsk”
Quand le chiffrement du disque dur est achevé, un autre message est affiché à la victime au démarrage.
La victime reçoit un code personnel (personal decryption code) qu’elle est censée entrer dans un portail du Dark Web afin de payer la rançon. Les cybercriminels derrière cette combine n’ont rien négligé et ont même installé dans le portail une page pour le support où les victimes pourront envoyer des messages à l’administrateur de GoldenEye en cas de problèmes de paiement ou lors du processus de déchiffrement.
Actuellement, les victimes doivent payer des rançons allant de 1,33 à 1,39 BitCoins (BTC). Il est clair que les pirates derrière GoldenEye cherchent à soutirer un millier de dollars de chaque victime en prenant en compte les variations de la valeur de la monnaie cryptographique.
Les chercheurs de sécurité ont assumé que GoldenEye constitue une autre variante de Petya, le ransomware développé par un cybercriminel connu sous le pseudonyme Janus. Jusqu’à octobre 2016, il a été l’administrateur du site web “Janus Cybercrime” où Petya a été offert avec un autre ransomware, Mischa, en tant que Ransomware-as-a-Service. Ce service permettait à tout pirate débutant d’avoir les outils nécessaires pour commencer à extorquer de l’argent aux victimes.
La meilleure défense contre les ransomwares comme GoldenEye est la précaution. Il faut éviter d’exécuter les macros incluses dans les documents de Microsoft Office et être plus vigilant avec le courrier électronique même s’il apparait comme étant complètement banal et inoffensif.
Source : blog Checkpoint
Et vous ?
Qu'en pensez-vous ?