En février, deux incidents de sécurité mis en lumière par nos chercheurs : la propagation de GandCrab!, un ransomware à chiffrement qui contamine les PC sous Windows et attribue l'extension *.GDCB aux fichiers chiffrés. Un miner Android capable de s’auto-propager en infectant des périphériques réseau sur lesquels le mode debug est activé, dont Smartphones, tablettes, lecteurs multimédias, routeurs et smart TV.

Les tendances principales du mois de février.

Propagation d’un nouveau ransomware ciblant Windows
Apparition d’un Trojan miner ciblant Android

Menace du mois

Le nom de GranGrab! a été donné à ce nouveau Trojan, Trojan.Encoder.24384 dans la nomenclature Dr.Web, par ses auteurs. Il chiffre le contenu des disques fixes, amovibles et des lecteurs réseau, puis il attribue aux fichiers chiffrés l'extension *. GDCB. Après son lancement, sous certaines conditions, le malware vérifie la présence d’un logiciel antivirus sur la machine contaminée. Ensuite, il stoppe les programmes en cours d'exécution selon une liste définie par les pirates et s'installe dans le système.

Après le redémarrage de l’ordinateur, Trojan.Encoder.24384 chiffre les fichiers sur les disques, à l'exception du contenu des dossiers système ou de service. Vous pouvez consulter plus d’information sur ce programme malveillant dans l’article publié sur notre site.

Selon les statistiques de Dr.Web Antivirus

Trojan.Moneyinst.520: Programme malveillant qui installe sur l'ordinateur de sa victime différents logiciels, y compris d'autres chevaux de Troie.
Trojan.Starter.7394: Son objectif principal consiste à lancer dans le système contaminé un fichier exécutable avec un jeu spécifique de fonctions malveillantes.
Trojan.Zadved: Plug-ins conçus pour remplacer les résultats des moteurs de recherche et afficher de fausses fenêtres pop-up de réseaux sociaux. De plus, ils peuvent remplacer les messages publicitaires affichés sur différents sites.
Trojan.DnsChange.8268: Programme malveillant remplaçant les adresses des serveurs DNS dans les paramètres de connexion sur la machine contaminée.
Trojan.Inject: Famille de logiciels malveillants qui intègrent un code malveillant aux processus d'autres programmes.

Données des serveurs de statistiques de Doctor Web.

JS.Inject: Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant dans le code HTML des pages web
Trojan.Starter.7394: Son objectif principal consiste à lancer dans le système contaminé un fichier exécutable avec un jeu spécifique de fonctions malveillantes
Trojan.DnsChange.8268: Programme malveillant, remplaçant les adresses des serveurs DNS dans les paramètres de connexion sur la machine contaminée.
Trojan.Encoder.11432: Ver réseau qui lance un ransomware sur l'ordinateur de sa victime . Il est également connu sous le nom de WannaCry.
BackDoor.Bebloh: Représentant de la famille des Trojans bancaires. Cette application représente une menace pour les utilisateurs de systèmes de e-banking car il permet aux malfaiteurs de voler les informations que l’utilisateur entre dans les formulaires sur les sites de certaines banques, en interceptant le contenu des champs des navigateurs Internet.

Statistiques relatives aux programmes malveillants détectés dans le trafic email

BackDoor.Bebloh: Représentant de la famille des Trojans bancaires. Cette application représente une menace pour les utilisateurs de systèmes de e-banking car il permet aux malfaiteurs de voler les informations que l’utilisateur entre dans les formulaires sur les sites de certaines banques, en interceptant le contenu des champs des navigateurs Internet.
JS.Inject: Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant dans le code HTML des pages web.
Java.Jrat.46: Programme malveillant destiné à gérer l'ordinateur à distance (Remote Access Tools, RAT) écrit en langage Java.
Trojan.DownLoader: Famille de Trojans conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur infecté.

Ransomwares à chiffrement

Au mois de février, le Support technique de Doctor Web a reçu de nombreuses requêtes d’utilisateurs touchés par les modifications suivantes de Trojans Encoders :

Trojan.Encoder.858 — 24,33% des demandes;
Trojan.Encoder.567 — 8,25% des demandes;
Trojan.Encoder.24249 — 6,19% des demandes;
Trojan.Encoder.11539 — 3,92% des demandes;
Trojan.Encoder.11464 — 2,68% des demandes;
Trojan.Encoder.2667 — 2,67% des demandes.

Dr.Web Security Space 11.0 pour Windows protège contre les ransomwares

Configurer la protection Dr.Web contre les ransomwares !

Cours de formation

A propos de la restauration gratuite

Dr.Web Rescue Pack

Sites dangereux

Au mois de févier 2018, le nombre d’adresses de sites non recommandés par Dr.Web a augmenté de 278,9% par rapport au mois précédent.

Janvier 2018	Février 2018	Evolution
+ 309 933	+ 1 174 380	+278.9%

Sites non recommandés

Logiciels malveillants et indésirables ciblant les appareils mobiles.

En février, nos chercheurs ont détecté le Trojan miner Android.CoinMine.15. Il peut contaminer les Smartphones Android connectés à un réseau, ainsi que les tablettes, téléviseurs, routeurs et lecteurs vidéo ayant le mode débug activé. En cas de contamination, le malware tente de détecter d'autres périphériques connectés au réseau et d'installer sa copie sur les appareils détectés.

Le Trojan bancaire Android.BankBot.336.origin a également été détecté le mois dernier.

Les événements les plus importants du mois de février relatifs à la sécurité des mobiles sont les suivants :

détection d’un Trojan miner capable de contaminer automatiquement des appareils Android connectés à un réseau,
propagation d'un nouveau Trojan bancaire

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au mois de février, consultez notre Rapportе.

En savoir plus avec Dr.Web

"Lumières sur la sécurité"

Les cours de formation

Projets éducatifs

Brochures