Attention : ce ransomware ressemble à s'y méprendre à... une mise à jour de Windows

Par Nathan Le Gohlisse, Spécialiste Hardware.

Publié le 10 juillet 2023 à 18h45

Se déguiser en une mise à jour Windows censée corriger une faille critique… pour infecter en réalité votre PC. C'est le mode opératoire d'un ransomware identifié récemment par des chercheurs en sécurité.

Surnommé « Big Head » et découvert par des chercheurs de FortiGuard Labs, ce malware affiche un écran de chargement inspiré par le design de Windows, ainsi que certains éléments d'interface et des polices de caractères familières, pour mieux chiffrer en arrière-plan les données de la victime.

Un ransomware astucieux…

Le chargement affiché laisse entendre à l'utilisateur qu'une importante mise à jour de sécurité est en train d'être installée, alors qu'en réalité, le piège se referme. Une fois le chargement complété (le processus prend seulement une trentaine de secondes selon Neowin), tous les fichiers importants sont chiffrés. L'utilisateur cible est alors invité à payer une rançon aux pirates pour en recouvrer l'accès.

En tout, deux versions de ce ransomware sont en circulation, apprend-on. Celle affichée ci-dessous est la variante A, mais une variante B est aussi d'actualité. Elle utilise pour sa part un fichier PowerShell nommé « cry.ps1 » pour chiffrer les fichiers sur un PC compromis.

… capable de s'en prendre à vos sauvegardes

En parallèle des travaux réalisés par les chercheurs de FortiGuard Labs, des chercheurs de Trend Micro ont pour leur part été en mesure de déterminer que « Big Head » est également capable de rechercher des environnements virtualisés, et qu'il peut enfin supprimer les sauvegardes VSS (Volume Shadow Copy Service), ce qui pourrait sérieusement accroître les dégâts causés aux PC impactés.

« Le ransomware recherche des chaînes de caractères telles que VBOX, Virtual ou VMware dans le registre d'énumération des disques afin de déterminer si le système fonctionne dans un environnement virtuel (…) », explique Trend Micro.

« Il identifie également les noms de processus spécifiques associés aux logiciels de virtualisation (…), ce qui lui permet d'ajuster ses actions en conséquence pour mieux réussir ou se dérober. Il peut enfin procéder à la suppression de la sauvegarde de récupération disponible en utilisant une ligne de commande

», lit-on.

Si vous souhaitez plus d'informations techniques sur ce malware, vous pouvez consulter le rapport de Fortinet, ou celui de Trend Micro.

Windows 11

Refonte graphique de l'interface réussie
Snap amélioré
Groupes d'ancrage efficaces

8 / 10

Télécharger

Lire le test

Source : Neowin

Par Nathan Le Gohlisse

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Articles de Nathan Le Gohlisse

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

Caramel34

J’avoue ne pas comprendre comment on peut l’attraper sachant que pour mettre à jour Windows il faut passer par Windows Update.

juju251

Imaginons qu’il se diffuse via certains sites web infectés, au gré de la navigation.
Il suffirait d’un écran du type « Attention, une vulnérabilité critique a été détectée sur votre machine, cliquez ici pour télécharger la mise à jour » …

Il est à peu près sûr que des personnes qui n’y connaissent pas grand chose risquent de tomber dans le panneau …

userresu

Il est aussi possible de télécharger manuellement les MAJ : Microsoft Update Catalog

Caramel34

Pas faux !

Caramel34

Pas faux non plus, mais on va sur le site de Microsoft, par sur turlupinpin.org, simple exemple