Malwarebytes a publié un outil de décryptage gratuit pour aider les victimes d'une récente attaque de ransomware à récupérer leurs données auprès de cybercriminels en utilisant une technique d'escroquerie de support technique. La nouvelle variante de ransomware appelée VindowsLocker fait surface la semaine dernière. Cela fonctionne en connectant les victimes à de faux techniciens Microsoft pour que leurs fichiers soient cryptés à l'aide d'un Pastebin API.
Les escrocs du support technique ciblent les internautes sans méfiance depuis un certain temps déjà. Une combinaison d'ingénierie sociale et de tromperie, la tactique malveillante a évolué des appels à froid aux fausses alertes et, plus récemment, aux verrouillages d'écran. Les escrocs du support technique ont maintenant ajouté un ransomware à leur arsenal d'attaque.
Jakub Kroustek, un chercheur en sécurité AVG, a d'abord détecté le ransomware VindowsLocker et a nommé la menace en fonction de l'extension de fichier. .vindows il s'ajoute à tous les fichiers cryptés. Le ransomware VindowsLocker utilise l'algorithme de cryptage AES pour verrouiller les fichiers avec les extensions suivantes:
SMS, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, aspic, aspx, html, xml, psd
VindowsLocker imite l'arnaque du support technique
Le ransomware utilise une tactique typique de la plupart des escroqueries de support technique en ce sens que les victimes sont invitées à appeler un numéro de téléphone fourni et à parler à un personnel de support technique. En revanche, les attaques de ransomwares dans le passé demandaient des paiements et géraient les clés de décryptage à l'aide d'un portail Dark Web..
ce n'est pas le support de microsoft vindows
nous avons verrouillé vos fichiers avec le virus zeus
faites une chose et appelez le technicien de support Microsoft de niveau 5 au 1-844-609-3192
vous retournerez pour une charge unique de 349,99 $
Malwarebytes pense que les escrocs opèrent en Inde et imitent le personnel de support technique de Microsoft. VindowsLocker utilise également une page de support Windows apparemment légitime pour donner la fausse impression que le support technique est prêt à aider les victimes. La page d'assistance demande l'adresse e-mail et les informations d'identification bancaires de la victime pour traiter le paiement de 349,99 $ pour déverrouiller un ordinateur. Cependant, payer la rançon n'aide pas les utilisateurs à récupérer leurs fichiers selon Malwarebytes. En effet, les développeurs de VindowsLocker sont désormais incapables de décrypter automatiquement un ordinateur infecté en raison d'erreurs de codage.
Malwarebytes explique que les codeurs du ransomware VindowsLocker ont bâclé l'une des clés API destinées à être utilisées dans de courtes sessions. Par conséquent, la clé API expire après une courte période et les fichiers cryptés sont mis en ligne, empêchant les développeurs de VindowsLocker de fournir les clés de cryptage AES aux victimes..
Lisez aussi:
- Identifiez le ransomware qui a chiffré vos données avec cet outil gratuit
- Comment supprimer définitivement le ransomware Locky
- Malwarebytes lance un décrypteur gratuit pour le ransomware Telecrypt
- Le ransomware Locky se propage sur Facebook sous la forme d'un fichier .svg
- Problèmes de Malwarebytes
- Ransomware