DC Ransomware
Les chercheurs d'Infosec ont identifié une nouvelle menace malveillante nommée DC Ransomware qui se cache dans la nature. L'analyse du code sous-jacent de la menace a révélé que le malware est une variante basée sur la famille Dharma Ransomware. Bien que cela signifie que le DC Ransomware ne présente aucune modification ou amélioration significative par rapport aux autres variantes, cela ne diminue en rien la capacité de la menace à provoquer la destruction.
En effet, si le DC Ransomware parvient à s'infiltrer dans les ordinateurs des utilisateurs, il lancera un processus de cryptage utilisant un code cryptographique indéchiffrable pour verrouiller les fichiers qui y sont stockés. Presque tous les types de fichiers les plus courants seront affectés - documents, PDF, audio, vidéo, archives, bases de données, photos, etc. En raison des actions intrusives de DC Ransomware, les utilisateurs perdront même la possibilité d'ouvrir les fichiers concernés.
Suivant le comportement typique de Dharma, DC Ransomware marque également les fichiers qu'il crypte. Il le fait en modifiant leurs noms d'origine. Tout d'abord, une chaîne d'identification attribuée à la victime spécifique sera ajoutée au nom du fichier. Ensuite, la menace ajoutera une adresse e-mail contrôlée par les attaquants (dc1@imap.cc). Enfin, '.DC' sera placé comme une nouvelle extension de fichier. Le DC Ransomware dépose deux notes de rançon sur les systèmes violés. L'un sera porté par un fichier texte nommé « FILES ENCRYPTED.txt », tandis que l'autre sera affiché dans une nouvelle fenêtre contextuelle.
Les demandes de DC Ransomware
Le message délivré via le fichier texte est extrêmement bref et manque de détails importants. Il indique simplement que les victimes de la menace doivent contacter les attaquants en envoyant un message aux deux adresses e-mail fournies - "dc1@imap.cc" ou "dc2@imap.cc". La note de rançon appropriée sera affichée dans la fenêtre contextuelle. Il précise que le deuxième e-mail ne doit être utilisé que si les utilisateurs ne reçoivent pas de réponse dans les 24 heures après avoir contacté le premier e-mail.
La fenêtre contextuelle précise également que la rançon demandée par les pirates devra être payée en Bitcoin, sans doute la crypto-monnaie la plus populaire. Apparemment, le prix de la rançon dépendra de la rapidité avec laquelle les utilisateurs établiront le contact avec les cybercriminels.
Selon la note, les victimes auront également la possibilité d'envoyer un fichier à déchiffrer gratuitement. Cependant, le fichier choisi ne doit contenir aucune information importante et ne doit pas dépasser 1 Mo. La dernière section du message demandant une rançon se compose de divers avertissements.
Le texte intégral des instructions fournies dans la fenêtre contextuelle est :
« Tous vos fichiers ont été cryptés !
Tous vos fichiers ont été cryptés en raison d'un problème de sécurité avec votre PC. Si vous souhaitez les restaurer, écrivez-nous à l'e-mail dc1@imap.cc
Écrivez cet identifiant dans le titre de votre message -
En cas de non réponse dans les 24 heures écrivez-nous à ces e-mails:dc2@imap.cc
Vous devez payer pour le décryptage en Bitcoins. Le prix dépend de la rapidité avec laquelle vous nous écrivez. Après le paiement, nous vous enverrons l'outil de décryptage qui décryptera tous vos fichiers.Décryptage gratuit comme garantie
Avant de payer, vous pouvez nous envoyer jusqu'à 1 fichier pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 1 Mo (non archivé) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, grandes feuilles Excel, etc.)Comment obtenir des Bitcoins
Le moyen le plus simple d'acheter des bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquer sur « Acheter des bitcoins » et sélectionner le vendeur par mode de paiement et par prix.
hxxps://localbitcoins.com/buy_bitcoins
Vous pouvez également trouver d'autres endroits pour acheter des Bitcoins et un guide pour débutants ici :
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation des prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque.Le fichier texte généré par DC Ransomware contient le message suivant :
toutes vos données nous ont été verrouillées
Vous voulez revenir ?
Écrivez un e-mail à dc1@imap.cc ou dc2@imap.cc .'
