Une nouvelle variante de ransomware appelée « Popcorn Time » a été découverte.
Elle utilise une approche inventive pour augmenter les infections : le malware transforme les victimes en agresseurs en leur offrant un rabais de type pyramidal. En effet, Popcorn Time supprime vos fichiers, sauf si vous infectez vos amis ou payez une rançon. Comme tous ses prédécesseurs, il est conçu pour chiffrer vos fichiers afin qu’ils soient inaccessibles.
Une fois les fichiers infectés, le propriétaire est alerté du chiffrement de ses fichiers et est invité à payer une rançon afin d’obtenir la clé de déchiffrement. Popcorn Time utilise le chiffrement AES-s56 et cible plus de 500 types de fichiers différents qui résident dans la bibliothèque du propriétaire de l’ordinateur. Ces fichiers comprennent « Mes documents », « Mes images », « Mes photos », « Ma musique », etc.
Options de paiement
Le montant actuel de la rançon Popcorn Time est d’un Bitcoin, soit environ 780$ au moment d’écriture de cet article. Une note de rançon stockée dans deux fichiers, restore_your_files.html et restore_your_files.txt, informe la victime qu’elle a sept jours pour payer la rançon.
Celle-ci comprend l’identifiant personnel attribué à l’ordinateur pour le crédit de paiement et un lien pour envoyer les fonds nécessaires. Ce type d’annonce d’extorsion est commun à toutes les attaques de ransomwares. Dans la note de rançon, ce processus de paiement est appelé « La voie rapide et facile », autrement dit, payez les frais de déchiffrement de vos fichiers et poursuivez votre vie.
Popcorn Time — Transformer les victimes en agresseurs
Ce qui différencie Popcorn Time de ses prédécesseurs, c’est que la note de rançon inclut une seconde méthode pour récupérer la clé de déchiffrement. Popcorn Time malware offre aux utilisateurs la suppression gratuite du chiffrement s’ils demandent à deux autres personnes d’installer le lien et de payer.
Appelée « The Nasty Way », la note se lit comme suit :
« Envoyez le lien ci-dessous à d’autres personnes. Si deux personnes ou plus installent ce fichier et paient, nous déchiffrerons vos fichiers gratuitement. »
Le concept ressemble beaucoup aux chaînes d’e-mails qui étaient courantes il y a quelques années, dans lesquelles un destinataire était encouragé à transmettre un e-mail à un certain nombre de personnes afin d’éviter la malchance. Nous ne saurons jamais combien de personnes ont pris le temps de transmettre ces e-mails, mais y a-t-il quelqu’un d’aussi peu scrupuleux pour infecter sciemment des gens qu’ils connaissent ?
Si l’on met de côté la question d’éthique, l’idée d’encourager les gens à infecter d’autres personnes qu’ils connaissent pourrait s’avérer un moyen beaucoup plus efficace de transmettre des malwares. La plupart des gens ont reçu des e-mails de quelqu’un dont le compte de messagerie a été compromis par un spammeur.
Ces cas sont faciles à identifier dans la mesure où l’on reçoit un e-mail adressé à une longue liste de destinataires. L’e-mail comprend généralement une ligne disant : « Je pense que vous pourriez trouver cela intéressant », suivie d’un lien qui télécharge à son tour le malware et infecte l’ordinateur.
Retourner les victimes contre leurs associés
Imaginez maintenant que vous recevez un e-mail d’un « ami à vous » (même si c’est n’est peut-être pas un ami de longue date) dans lequel il écrit quelques paragraphes sur ses dernières vacances, ou un court paragraphe sur un nouveau restaurant chaud qu’il a découvert le week-end dernier. Le récit serait alors suivi d’un lien. La personnalisation de l’e-mail inciterait grandement à cliquer sur le lien. Sachez toutefois que quiconque choisit de transmettre le lien malveillant commet un crime tout aussi grave que le cybercriminel qui a envoyé l’e-mail original.
Comme toute forme de ransomware, il n’y a aucune garantie que l’on recevra un jour la clé de déchiffrement, même lorsque la rançon est payée. C’est pourquoi de nombreux professionnels de la cybersécurité recommandent de ne pas choisir cette option. Et même lorsque le ransomware est transmis à d’autres personnes, qui peut dire que celles-ci décideront de payer ? Que se passerait-il alors s’ils se montraient, eu aussi, tout aussi peu scrupuleux que la personne qui leur a fait parvenir l’information et qu’ils choisissent l’option 2 ? La question la plus préoccupante est celle de savoir ce qu’il adviendra si tous vos collègues sont infectés. Rien ne peut garantir que le cybercriminel ne va pas revenir réclamer une rançon en échange de ne pas vous appeler publiquement ?
Un autre nouvel attribut plus subtil de cette souche de ransomware est que le malware supprimera tous vos fichiers si le mauvais code de déchiffrement est tapé 4 fois dans le champ de saisie. Il n’est pas rare que des souches de ransomwares suppriment des fichiers.
Comme pour tous les ransomwares, une bonne sauvegarde est l’antidote permettant de contourner les effets néfastes du chiffrement de vos fichiers. Malheureusement, beaucoup de gens ne prennent pas au sérieux la nécessité de sauvegarder leurs fichiers, c’est pourquoi les utilisateurs personnels continueront d’être des victimes des ransomwares. Un rapport récent de Kaspersky suggère que les attaques de ransomware ont considérablement augmenté au cours des 12 derniers mois. Les PME ont été les plus touchées, étant donné que 42 % d’entre elles ont été victimes d’une attaque de ransomware pendant cette période.
Comment battre un Ransomware ?
Bien que les menaces susmentionnées semblent effrayantes, il existe des mesures simples que vous pouvez prendre pour les éviter et les vaincre. La meilleure façon d’éviter les demandes de rançon est de faire preuve de bon sens :
- N’ouvrez pas les pièces jointes aux e-mails dont vous ne reconnaissez pas les expéditeurs,
- Évitez de cliquer sur des liens si vous ne pouvez pas vérifier qu’ils sont sûrs,
- Installez un logiciel de sécurité réseau capable d’empêcher une infection de chiffrer les fichiers sur votre PC,
- Assurez-vous que tous vos logiciels sont à jour. Les pirates utilisent les vulnérabilités pour attaquer votre PC,
- Si vous recevez un document d’une source inconnue, ne l’ouvrez pas,
- Surtout, assurez-vous de sauvegarder régulièrement toutes les données de votre entreprise dans le cloud ou sur un autre disque non connecté à votre réseau,
- Le meilleur conseil est de suivre la règle du 3-2-1.
Règle de sauvegarde 3-2-1
Afin d’assurer des sauvegardes fiables et sans souci, vous avez besoin de redondance, ce qui est le but de la sauvegarde 3-2-1 traditionnelle. La conception topologique de la sauvegarde 3-2-1 est la suivante :
- Avoir au moins 3 copies de vos données,
- Utilisez deux formats de médias différents,
- L’une des copies doit être conservée hors site.
Avoir trois copies de vos données signifie que vous devez avoir une copie (qui est l’original) supportée par deux copies de sauvegarde séparées. Vos données doivent être stockées sur deux supports distincts. Il peut également s’agir d’un support traditionnel qui semble si ancien aujourd’hui, mais qui est suffisamment mobile pour être transporté hors site dans un endroit sûr, comme un site distinct utilisé par votre organisation ou même un coffret de sûreté dans une banque locale. Une solution possible, qui satisfait à la fois les conditions de deux types de médias et d’un emplacement distant, est l’utilisation de la fonction de snapshotting de votre infrastructure SAN (réseau de stockage). Bien sûr, il va sans dire que tout plan de sauvegarde doit inclure des restaurations et des tests réguliers des données pour s’assurer que celles-ci peuvent être récupérées intactes.
Les ransomwares mûrissent en tant que forme de malware et peuvent donc évoluer vers de nouvelles formes qui peuvent s’étendre au-delà des connexions physiques directes. La seule certitude concernant le ransomware, cependant, est que le maintien d’une solution de sauvegarde fonctionnelle bien conçue servira de mesure efficace contre les effets durables du ransomware, peu importe comment il peut évoluer un jour.
Popcorn Time ransomware est actuellement en cours de développement, mais tant de choses peuvent changer avec le temps. Au fur et à mesure que ce ransomware se développera, nous publierons de nouvelles informations.
Comme d’habitude, votre meilleure défense est de prévenir l’infection en premier lieu, découvre dans nos autres articles comment réduire les risques d’infection par un malware. Si vous êtes un pro de l’informatique et que vous avez des questions sur les ransomwares ou d’autres menaces dangereuses de malwares. Parlez à un spécialiste ou envoyez-nous un e-mail à info@titanhq.com pour toute question.