Attention : ce ransomware ressemble à s'y méprendre à... une mise à jour de Windows

Nathan Le Gohlisse
Par Nathan Le Gohlisse, Spécialiste Hardware.
Publié le 10 juillet 2023 à 18h45
© IB Photography / Adobe Stock
© IB Photography / Adobe Stock

Se déguiser en une mise à jour Windows censée corriger une faille critique… pour infecter en réalité votre PC. C'est le mode opératoire d'un ransomware identifié récemment par des chercheurs en sécurité.

Surnommé « Big Head » et découvert par des chercheurs de FortiGuard Labs, ce malware affiche un écran de chargement inspiré par le design de Windows, ainsi que certains éléments d'interface et des polices de caractères familières, pour mieux chiffrer en arrière-plan les données de la victime.

Un ransomware astucieux…

Le chargement affiché laisse entendre à l'utilisateur qu'une importante mise à jour de sécurité est en train d'être installée, alors qu'en réalité, le piège se referme. Une fois le chargement complété (le processus prend seulement une trentaine de secondes selon Neowin), tous les fichiers importants sont chiffrés. L'utilisateur cible est alors invité à payer une rançon aux pirates pour en recouvrer l'accès.

En tout, deux versions de ce ransomware sont en circulation, apprend-on. Celle affichée ci-dessous est la variante A, mais une variante B est aussi d'actualité. Elle utilise pour sa part un fichier PowerShell nommé « cry.ps1 » pour chiffrer les fichiers sur un PC compromis.

© Neowin
© Neowin

… capable de s'en prendre à vos sauvegardes

En parallèle des travaux réalisés par les chercheurs de FortiGuard Labs, des chercheurs de Trend Micro ont pour leur part été en mesure de déterminer que « Big Head » est également capable de rechercher des environnements virtualisés, et qu'il peut enfin supprimer les sauvegardes VSS (Volume Shadow Copy Service), ce qui pourrait sérieusement accroître les dégâts causés aux PC impactés.

« Le ransomware recherche des chaînes de caractères telles que VBOX, Virtual ou VMware dans le registre d'énumération des disques afin de déterminer si le système fonctionne dans un environnement virtuel (…) », explique Trend Micro.

« Il identifie également les noms de processus spécifiques associés aux logiciels de virtualisation (…), ce qui lui permet d'ajuster ses actions en conséquence pour mieux réussir ou se dérober. Il peut enfin procéder à la suppression de la sauvegarde de récupération disponible en utilisant une ligne de commande

», lit-on.

Si vous souhaitez plus d'informations techniques sur ce malware, vous pouvez consulter le rapport de Fortinet, ou celui de Trend Micro.

Windows 11
  • Refonte graphique de l'interface réussie
  • Snap amélioré
  • Groupes d'ancrage efficaces
8 / 10
Télécharger
Lire le test

Source : Neowin

Par Nathan Le Gohlisse
Spécialiste Hardware
XLinkedIn

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Articles de Nathan Le Gohlisse
Cyber sécurité
Malware / Ransomware
Antivirus
Microsoft
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (5)
Caramel34

J’avoue ne pas comprendre comment on peut l’attraper sachant que pour mettre à jour Windows il faut passer par Windows Update.

juju251

Imaginons qu’il se diffuse via certains sites web infectés, au gré de la navigation.
Il suffirait d’un écran du type « Attention, une vulnérabilité critique a été détectée sur votre machine, cliquez ici pour télécharger la mise à jour » …

Il est à peu près sûr que des personnes qui n’y connaissent pas grand chose risquent de tomber dans le panneau …

userresu

Il est aussi possible de télécharger manuellement les MAJ : Microsoft Update Catalog

Caramel34

Pas faux !

Caramel34

Pas faux non plus, mais on va sur le site de Microsoft, par sur turlupinpin.org, simple exemple :grinning:

Sur le même sujet
Attention ! De fausses images OnlyFans sont utilisées pour diffuser un vrai voleur d'infos
4 commentaires
Attention ! Ce nouveau malware en veut à votre historique WhatsApp... et il n'est pas du tout protégé !
ChromeLoader, tout savoir sur ce malware qui cible les joueurs Nintendo ou Steam en quête de jeux piratés
10 commentaires
Face au ransomware BianLian, Avast propose son outil de décryptage gratuit
ChatGPT sait même écrire le code informatique d’un… malware
5 commentaires
Facebook
X