SMS Blockers: The New Face of Ransomware. Trojan:W32/Ransomcrypt / Trojan.Encoder : Prise en otage des documents. Le WE dernier j’ai édité le billet Virus Gendarmerie pour signaler qu’une variante étant en ligne qui prenait en otage les documents. Le principe est de chiffrer les documents et de demander une rançon pour débloquer l’accès aux documents (quoique dans le cas du Virus Gendarmerie, aucune demande de rançon de déblocage).
Vous trouverez des informations techniques de cette variante, par SecuBox Labs à partir de ce lien : (EDIT Fin Avril – un fix est disponible pour cette variante, se reporter à la page suivante : ) Ce principe n’est pas nouveau, puisque le malware GPCode avait fait son apparatition courant 2007 (Une bref réapparaition via ce billet : Nouveau ransomware »EnCiPhErEd«
Faux gendarmes et fausses amendes sur le web. Depuis samedi dernier, des internautes voient s’afficher sur leur écran un message de la gendarmerie nationale faisant état de certaines infractions.
Le paiement d’une amende est demandé, mais n’en faites rien : tout est faux ! Comment se débarrasser de cette fenêtre frauduleuse ? « Je regardais samedi soir le match Real de Madrid FC Barcelone sur Internet, raconte Laurent, parisien de 34 ans. Une page est apparue, ornée d’un logo gendarmerie nationale« . Ce sont a priori les internautes adeptes du streaming (visionnage de vidéos en ligne) qui sont visés par cette escroquerie. Pour renforcer sa crédibilité, le message mentionne aussi le Fournisseur d’Accès Internet et l’adresse IP de l’internaute.
Il faut bien sûr ne pas procéder au paiement ! Comment supprimer le faux message de la gendarmerie nationale ? Des mises à jour techniques permettent désormais d’éradiquer le message intempestif. Source : leparisien.fr. Ransomware Gets Professional, Targeting Switzerland, Germany And Austria. In March I blogged about a ransomware which has been targeting various countries, locking down the victims computer due to “Child Porn and Terrorism”.
This week I spotted another ransomware campaign that is targeting Swiss, German, and Austrian internet users. This time the criminals seems to use a different schema to lock down the victims computer: violation of local copyright law. *** Infection vector **** The infection vector is a well known drive-by exploit kit called “Blackhole”.
It is sold in underground forum and used by various criminal groups to infected computers “on the fly” by (ab)using one or more security vulnerabilities in the victims web browser (or a third party plug-in like Adobe Flash Player, Adobe Reader or Java). In this case a Blackhole exploit kit located at pampa04.com was involved to spread the ransomware: [landing page] -> [JavaScript loading exploits] –> [Java exploit] —> [Payload] C:\Documents and Settings\Christoph\Application Data\itunes_service01.exe.