le 16 avril 2018

Les analystes de Doctor Web ont examiné un nouveau ransomware à chiffrement. A cause d'une erreur de ses auteurs, la restauration des fichiers touchés par ce malware est impossible dans la majorité des cas.

Ce nouveau Trojan a été nommé Trojan.Encoder.25129. La protection préventive de Dr.Web Antivirus détecte ce Trojan sous le nom DPH:Trojan.Encoder.9. Après son lancement, il vérifie la position géographique de l'utilisateur par l'adresse IP de l'appareil contaminé. D’après l’analyse effectuée par les chercheurs de Doctor Web, il semble que le Trojan ne devait pas chiffrer les fichiers si l'adresse IP était localisée en Russie, Kazakhstan ou Biélorussie, ainsi que dans le cas où les paramètres régionaux Windows étaient en russe et la langue russe utilisée. Cependant, à la suite d'une erreur dans son code, le ransomware chiffre les fichiers quel que soit l'emplacement géographique de l'adresse IP.

Trojan.Encoder.25129 chiffre le contenu des dossiers de l'utilisateur en cours d’utilisation de l’ordinateur, du bureau Windows, ainsi que des dossiers AppData et LocalAppData. Le chiffrement est effectué en utilisant les algorithmes AES-256-CBC, les fichiers cryptés reçoivent l'extension .tron. Les fichiers dont la taille dépasse 30 000 000 octets (environ 28.6 Mo) ne sont pas touchés. Une fois le chiffrement terminé, le Trojan crée un fichier %ProgramData%\\trig dans lequel il écrit la valeur " 123 " (si un tel fichier existe déjà, le chiffrement n'est pas effectué). Puis le malware envoie une requête vers le site iplogger dont l'adresse est enregistrée dans son corps. Ensuite le malware affiche une fenêtre avec une demande de rançon.

Le montant de la rançon demandée par les pirates varie entre 0.007305 et 0.04 Btc. Si l’utilisateur clique sur le bouton HOW TO BUY BITCOIN, le Trojan affiche une fenêtre avec des instructions relatives à l'achat de la crypto-monnaie Bitcoin.

Malgré le fait que les pirates assurent à leurs victimes qu'ils seront en mesure de restaurer les fichiers touchés après le paiement de la rançon, il s’avère que le code du Trojan comporte une erreur qui empêche, dans la plupart des cas, la restauration des données.

Les utilisateurs de Dr.Web sont protégés contre ce ransomware à chiffrement car le composant de la protection préventive au sein de nos produits antiviorus le détecte et le supprime. Cependant, les experts de Doctor Web rappellent qu'il est nécessaire de faire des sauvegardes régulières de toutes les informations sensibles.