Nodera Ransomware
La plupart des auteurs de ransomwares ne sont pas très créatifs. Ils utilisent souvent le code des menaces déjà établies et y appliquent à peine les modifications. Cependant, ce n'est pas ce qui se passe avec le Nodera Ransomware. Ce tout nouveau cheval de Troie de verrouillage de données est écrit dans le langage de programmation Node.js - une approche très inhabituelle. Il est probable que les auteurs du Nodera Ransomware ont construit ce cheval de Troie de cryptage de fichiers à partir de zéro.
Propagation et chiffrement
On ne sait pas encore quelle est la méthode de propagation utilisée dans la propagation du Nodera Ransomware. Certains experts pensent que les attaquants pourraient avoir utilisé des spams pour distribuer ce cheval de Troie. L'utilisateur ciblé recevrait un e-mail qui semble être envoyé par une entreprise légitime ou un organisme gouvernemental. L'e-mail contient un faux message et une pièce jointe macroscopique. Le but du faux message est d'inciter l'utilisateur à exécuter le fichier joint, ce qui permettra à la menace de compromettre son système. Les trackers de torrent, les faux téléchargements d'applications, la malvertising sont parmi d'autres méthodes de propagation populaires que les auteurs de menaces de ransomware ont tendance à utiliser. Après avoir compromis le PC ciblé, le Nodera Ransomware analyse les fichiers de l'utilisateur et commence son processus de cryptage. Le Nodera Ransomware utilise un algorithme de cryptage complexe pour verrouiller les fichiers de la victime. Une fois le processus de cryptage terminé, l'utilisateur peut remarquer que ses fichiers ont été renommés. Le Nodera Ransomware ajoute une extension à la fin des noms de fichiers de la victime - «.encrypted». Par conséquent, un fichier, initialement nommé «snowy-day.jpeg», sera renommé «snowy-day.jpeg.encrypted». Tous les fichiers verrouillés seront inutilisables.
La note de rançon
Pour faire passer leur message, les attaquants se sont assurés que leur menace laisse tomber un message de rançon sur le bureau de l'utilisateur. Le Nodera Ransomware dépose deux fichiers sur le système compromis «Decrypt-your-files.bat» et une note contenant des instructions sur la façon d'obtenir Bitcoin pour les utilisateurs qui ne savent pas «How-to-buy-bitcoins.html». Dans la note, il est mentionné que les frais de rançon requis sont de 0,4 Bitcoin (environ 3700 $ au moment de la rédaction de ce message). Cependant, fait intéressant, les auteurs du Nodera Ransomware n'ont pas fourni de coordonnées, ce qui rend impossible pour leurs victimes de les contacter ou de traiter le paiement. De plus, dans la note, les attaquants déclarent que la clé de déchiffrement de la victime sera détruite le 1er mars 2018.
Même si les attaquants avaient fourni leurs coordonnées, il est toujours préférable d'éviter d'interagir avec les cyber-escrocs. Ne donnez pas à ces personnes votre argent durement gagné car elles tiennent rarement leurs promesses, et il est probable que vos fichiers resteront cryptés même si vous payez. Au lieu de cela, envisagez d'investir dans une suite logicielle antivirus réputée qui vous débarrassera définitivement du Nodera Ransomware.
