Se déguiser en une mise à jour Windows censée corriger une faille critique… pour infecter en réalité votre PC. C'est le mode opératoire d'un ransomware identifié récemment par des chercheurs en sécurité.
Surnommé « Big Head » et découvert par des chercheurs de FortiGuard Labs, ce malware affiche un écran de chargement inspiré par le design de Windows, ainsi que certains éléments d'interface et des polices de caractères familières, pour mieux chiffrer en arrière-plan les données de la victime.
Un ransomware astucieux…
Le chargement affiché laisse entendre à l'utilisateur qu'une importante mise à jour de sécurité est en train d'être installée, alors qu'en réalité, le piège se referme. Une fois le chargement complété (le processus prend seulement une trentaine de secondes selon Neowin), tous les fichiers importants sont chiffrés. L'utilisateur cible est alors invité à payer une rançon aux pirates pour en recouvrer l'accès.
En tout, deux versions de ce ransomware sont en circulation, apprend-on. Celle affichée ci-dessous est la variante A, mais une variante B est aussi d'actualité. Elle utilise pour sa part un fichier PowerShell nommé « cry.ps1 » pour chiffrer les fichiers sur un PC compromis.
… capable de s'en prendre à vos sauvegardes
En parallèle des travaux réalisés par les chercheurs de FortiGuard Labs, des chercheurs de Trend Micro ont pour leur part été en mesure de déterminer que « Big Head » est également capable de rechercher des environnements virtualisés, et qu'il peut enfin supprimer les sauvegardes VSS (Volume Shadow Copy Service), ce qui pourrait sérieusement accroître les dégâts causés aux PC impactés.
« Le ransomware recherche des chaînes de caractères telles que VBOX, Virtual ou VMware dans le registre d'énumération des disques afin de déterminer si le système fonctionne dans un environnement virtuel (…) », explique Trend Micro.
« Il identifie également les noms de processus spécifiques associés aux logiciels de virtualisation (…), ce qui lui permet d'ajuster ses actions en conséquence pour mieux réussir ou se dérober. Il peut enfin procéder à la suppression de la sauvegarde de récupération disponible en utilisant une ligne de commande », lit-on.
Si vous souhaitez plus d'informations techniques sur ce malware, vous pouvez consulter le rapport de Fortinet, ou celui de Trend Micro.
- Refonte graphique de l'interface réussie
- Snap amélioré
- Groupes d'ancrage efficaces
Windows 11 de Microsoft redéfinit l'expérience utilisateur avec une interface repensée, des widgets personnalisables et une intégration renforcée de Microsoft Teams. Chaque innovation vise à optimiser et enrichir l'utilisation quotidienne de votre appareil. Que vous soyez professionnel, créateur ou utilisateur lambda, Windows 11 répond à vos besoins en alliant efficacité et plaisir d'utilisation.
Windows 11 de Microsoft redéfinit l'expérience utilisateur avec une interface repensée, des widgets personnalisables et une intégration renforcée de Microsoft Teams. Chaque innovation vise à optimiser et enrichir l'utilisation quotidienne de votre appareil. Que vous soyez professionnel, créateur ou utilisateur lambda, Windows 11 répond à vos besoins en alliant efficacité et plaisir d'utilisation.
Source : Neowin
Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !
Lire d'autres articles
