La programmation de ransomware est une activité apparemment assez lucrative pour les pirates. Microsoft vient de lancer l'alerte sur une nouvelle variante de ces malwares demandeurs de rançon. Le programme se nomme Ransom:Win32/ZCryptor.A et a été baptisé de manière plus simpliste Zcryptor. Ce ransomware se propage via des campagnes de spam, des faux fichiers d’installation pour Flash Player ou encore des macros pour Office. Il se distingue particulièrement par sa capacité d'autopropagation. Il est en effet capable de se copier sur des supports amovibles et lecteurs réseau. Le ransomware a été d'abord découvert par un chercheur en sécurité, quelques jours avant l'alerte de Microsoft.Après avoir infecté la machine de sa victime, Zcryptor va chiffrer les fichiers de cette dernière en changeant les extensions en .zcrypt. Selon Microsoft, parmi les fichiers ciblés par le logiciel malveillant, on retrouve ceux avec les extensions .avi, .bmp, .cpp, . doc, .docx, .dwg , .html, .jar, .jpeg, .mdb, .mpeg, .odt, .pdf, .pptx, .raw, .swf, .xlsx et .xml.
En plus d’infecter la machine, Zcryptor va aussi s’attaquer aux supports amovibles, notamment un disque dur externe. Il va alors infecter la séquence d’initialisation du disque amovible. Le ransomware va modifier les fichiers afin qu’ils soient invisibles à l’utilisateur. Ce dernier peut donc infecter d’autres ordinateurs via sa clef USB. Zcryptor cible également les lecteurs réseau pour faciliter sa propagation.
Quand sa mission est accomplie, le demandeur de rançon va générer un fichier html qui informe l’utilisateur que ses fichiers sont chiffrés et qu’il doit payer 500 dollars US, dans les quatre jours qui suivent, pour avoir la clé de déchiffrement. Dans ce fichier, il est également demandé à l’utilisateur de ne pas tenter de supprimer le ransomware au risque de perdre ses données.
Microsoft propose quelques mesures de protection contre le ransomware Zcryptor
Pour se protéger de Zcryptor, Microsoft suggère la mise à jour du système d’exploitation ainsi que de l’antivirus. Il est à noter que ce ransomware est détecté par Windows Defender. Il est aussi recommandé de réaliser régulièrement une sauvegarde de ses données sur un disque dur externe. Entre autres mesures élémentaires, Microsoft conseille également aux utilisateurs de désactiver le téléchargement des macros pour Office. La firme de Redmond recommande donc plus de vigilance et de prudence vis-à-vis des fichiers d’installation Flash Player et macros pour Office, qui sont des moyens de propagation du ransomware.
Sources : Microsoft, Malwarefor.me
Et vous ?
Qu’en pensez-vous ? Les ransomwares sont-ils devenus la nouvelle arme des hackers pour se financer ?Voir aussi :
Plus de 427 millions de mots de passe MySpace volés sont en vente par un hacker pour 2800 dollars 
