En quoi consiste le ransomware délabré IKARUS ?
Le ransomware Locky refait surface avec sa nouvelle variante nommée « IKARUSdilapidated ». Celui-ci a été découvert par Comodo Threat Intelligence Lab. Selon les chercheurs de Comodo, la source de ce rançongiciel est un botnet d'ordinateurs zombies, ce qui correspond au lancement d'attaques de filoutage qui envoient des courriels et des pièces jointes provenant de l'imprimante multifonction de classe affaires digne de confiance d'un destinataire ciblé.
Ce rançongiciel adopte une campagne désagréable utilisant des courriels pour se propager dans l'ordinateur de la victime, qui utilise un modèle d'imprimante populaire dans la ligne d'objet pour inciter les utilisateurs à penser qu'il s'agit de messages légitimes. Un tel message lit, « image scannée à partir M-2600N ». MX-2600N est le modèle d'une imprimante multifonction Sharp de premier plan. Mais ce message contenait des pièces jointes JavaScript malveillantes, qui, si l'utilisateur cliquait dessus, aurait lancé un programme d'insertion qui a téléchargé le ransomware délabré IKARUS.
Comment se propage -t-il ?
Il s'agit d'une attaque ransomware étendue qui se propage par e-mails, après son entrée dans le système, elle apporte une nouvelle variante de malware Trojan, qui apparaît comme un fichier inconnu et peut glisser dans les infrastructures non averties et non préparées de l'organisation. En peu de temps, cette attaque rançonneuse coordonnée a affecté des dizaines de milliers d'utilisateurs qui utilisaient cet e-mail. Ils étaient ciblés par un e-mail simple avec une pièce jointe et peu ou pas de contenu dans le corps de l'e-mail. La pièce jointe est un fichier archive portant le nom « E 2017-08-09 (580) .vbs » (pour chaque email, « 580 » est un nombre qui change constamment et « vbs » est une extension qui change constamment). La pièce jointe a un fichier infecté, qui télécharge « IKARUSdilapidated », le dernier membre de la famille ransomware « Locky ». Nommé d'après les apparences de « IKARUSdilapidated » dans la chaîne de code, il est clairement lié au cheval de Troie « Locky » et partage certaines de ses caractéristiques.
L'ingénierie sociale est la méthode la plus courante et la plus efficace utilisée pour inciter les utilisateurs à télécharger ce rançongiciel. Une fois que l'utilisateur ait suivi les instructions, les macros se sauvent et exécutent un fichier binaire qui télécharge le cheval de Troie crypté réel. Ce cheval de Troie cryptera tous les fichiers correspondant aux extensions spécifiques codées en dur, y compris les communes sur la plupart des machines. Après cryptage, un message est mis en surbrillance sur le bureau de l'utilisateur pour lui demander de télécharger le navigateur Tor, ce qui est populaire car il permet la navigation anonyme. En utilisant le navigateur TOR, il vous invite à visiter un site Web spécifique pour plus d'informations. Le site Web contient des instructions qui exigent un paiement de rançon compris entre 0,5 et 1 bitcoin (actuellement, un bitcoin varie entre 500 et 1 000 euros) pour libérer les fichiers maintenant cryptés afin de décrypter (espérons-le) leurs fichiers.
Le Threat Intelligence Lab (laboratoire d'intelligence de menace) a fait une analyse des milliers de courriels envoyés dans cette campagne d'hameçonnage. Cette analyse a révélé que cette attaque avait affecté 11 625 adresses IP différentes dans 133 pays différents ciblés par cette campagne. Les serveurs du Vietnam, de l'Inde, du Mexique, de la Turquie et de l'Indonésie ont été les plus touchés par cette attaque.
Conseils pour empêcher tout virus ou logiciel malveillant d’infecter votre système :
- Activez votre Bloqueur d’Annonces : l’affichage de pop-ups intempestives et de publicités sur les sites Web constituent la tactique la plus facile à adopter par les cybercriminels ou les développeurs pour propager des programmes malveillants. Donc, évitez de cliquer sur des sites non fiables, des offres etc. et installez un puissant Bloqueur d’Annonces pour Chrome, Mozilla, and Internet Explorer.
- Mettre à jour Windows : Pour éviter de telles infections, nous vous recommandons de toujours mettre à jour votre système via la mise à jour automatique de Windows. En faisant cela, votre appareil sera sans virus. Selon le sondage, les versions obsolètes ou anciennes du système d'exploitation Windows constituent des cibles faciles.
- Programme d’installation tiers : Essayez d’éviter les sites Web de téléchargement gratuit car ils installent habituellement un ensemble de logiciels avec n’importe quel programme d’installation ou fichier de raccord.
- Une Sauvegarde régulière : Une sauvegarde régulière et périodique vous aide à protéger vos données si le système est infecté par un virus ou toute autre infection. Cependant, sauvegardez toujours les fichiers importants régulièrement sur un lecteur cloud ou un disque dur externe.
-
Toujours avoir un Antivirus : il vaut mieux prévenir que guérir. Nous vous recommandons d’installer un antivirus comme ITL Total Security
ou un puissant Outil de suppression de logiciels malveillants
comme l’ Outil de suppression gratuit de virus pour vous débarrasser de toute menace.
