S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Un ransomware couple Sacem et Police pour escroquer des fonds

"Si tu payes pas, je chante" (Didier Barb*.)

Depuis quelques semaines, un nouveau Ransomware vient pourrir les PC sous Windows. Le message arbore le logo de la SACEM accompagné par celui de la Police Nationale, question d’impressionner un peu plus… Comme tout bon rançongiciel (son nom francisé), le malware bloque la machine et demande à la victime tant qu’il n’a pas versé une somme déterminée.

« Votre ordinateur a été verrouillé » car « des morceaux de musique téléchargés illégalement (piratés) ont été localisés sur votre ordinateur » annonce ainsi le faux message de la SACEM.

ransomware sacem police
Source Abuse.ch

La suite prétexte d’une violation de l’article 106 de la loi sur le droit d’auteur pour extorquer des fonds à la victime. De fait, inutile de chercher : l’article 106 est un texte inexistant, le code de la propriété intellectuelle débutant sa numérotation à l’article L111-1. Mais l’utilisateur n’en est pas moins menacé d’amende ou de trois ans d’emprisonnement et d’une confiscation de son ordinateur.

Le chantage prend alors forme : « pour déverrouiller votre ordinateur et d’éviter d’autres conséquences juridiques, vous êtes obligé de payer une charge de libération de 50 €. Payable par notre partenaire de paiement Paysafecard ». Une fois ce paiement effectué, promet encore l’avertissement, « votre ordinateur va automatiquement débloquer » (sic). Et pour nourrir la crédulité, le document affirme, approximativement, que la « SACEM est légitimité par la loi et est en contact étroit avec les législateurs et la police. »

Le site d’entraide informatique Malekal.com a désossé ce ransomware qui se propage « par une malvertising sur adf.ly », lequel affiche une publicité avant de rediriger un internaute vers un site tiers. En coulisse, l’Exploit Kit BlackHole s’occupe des basses œuvres. Il s’agit d’un kit logiciel qui permet de tirer parti d’une série de failles sur des logiciels non mis à jour. Actif, le malware s’incruste alors sur l’écran de l’utilisateur, même en mode sans échec, bloquant la machine. Malekal donne d’ailleurs des pistes de déblocage avec notamment Kaspersky Unlocker ou Microsoft Standalone System Sweeper Tool.

GEMA, PRS... épidémie de ransomeware

Ce n’est pas la première fois que pareilles pourritures informatiques tentent d’abuser de la crédulité des internautes. La GEMA, équivalente allemande de notre SACEM a elle aussi fait l’objet de tels exploits. Récemment, l’Autriche a connu des attaques similaires avec cette fois la Performing Right Society (PRS) et la Metropolitan Police TrendMicro s’est également fait l’écho d’un Police Trojan fonctionnant sur les mêmes bases. Comme pointé par Numérama, l’Office européen de police (Europol), agence communautaire charge de la coopération entre les forces de police, a ainsi organisé une réunion sur ce thème voilà quelques d’où sont sortis quelques conseils d'hyper base (comme ne pas installer de logiciels inconnus, ne pas payer, etc.)

Chantre de la sécurisation anticontrefaçon, la Hadopi avait elle-même publié un communiqué pour rassurer les abonnés quelque peu déboussolés. Dans la France de l'avertissement industrialisé, des messages prétendument envoyés par la Police ou de la Gendarmerie brouillent l’écoute. « Depuis le 10 décembre 2011, il apparaît que des particuliers sont victimes d'un code malveillant bloquant leur ordinateur. Ce code exécute une page comportant le logo de la Gendarmerie (mais aussi parfois de la police) et qui empêche toute action sur l'ordinateur infecté, à moins de régler en ligne une « amende » de 200 euros »… Et la Hadopi de donner quelques pistes de désinfection à l'aide de liens.
Marc Rees

Journaliste, rédacteur en chef

Publiée le 10/05/2012 à 15:41

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 59 commentaires

Avatar de Bill2 INpactien
Bill2 Le jeudi 10 mai 2012 à 15:59:51
Inscrit le mardi 6 mai 03 - 2123 commentaires
J'a eu ce genre de truc il y a une semaine.
Et pourtant, j'applique tous les correctifs microsoft, je mets à jours Adobe REader et Java dès que la fenêtre d'update me signale une MAJ, et j'ai un AV qui tourne en permanence.

Bon, j'ai réussi à rapidement supprimer le bordel (merci malekal !) mais c'est quand même louche
Avatar de june INpactien
june Le jeudi 10 mai 2012 à 16:00:29
Inscrit le mardi 11 février 03 - 2311 commentaires
L'étape suivante, ce sera la même chose couplé à un chiffrement assymétrique du répertoire "my documents". Et là, il n'y aura plus rien à faire pour nettoyer sa machine : il faudra payer (sans garantie) ou perdre ses données.
Avatar de FunnyD INpactien
FunnyD Le jeudi 10 mai 2012 à 16:01:20
Inscrit le mardi 22 novembre 11 - 7642 commentaires
C'est super ce truc, j'me fait 8 000/mois non soumis à l'IRPP



Avatar de kade INpactien
kade Le jeudi 10 mai 2012 à 16:03:30
Inscrit le mercredi 24 octobre 07 - 3264 commentaires
PaySafeCard est tellement sécurisé qu'il ne faut pas l'utiliser MDR
C'est eux kildiz
Avatar de copaz INpactien
copaz Le jeudi 10 mai 2012 à 16:05:30
Inscrit le vendredi 11 juin 10 - 407 commentaires
Encore un coup des vilains informaticiens

Soit tu payes 50€ le pirate, soit tu payes 50€ un technicien informatique pour qu'il te désinfecte de ce virus
Avatar de Groumfy INpactien
Groumfy Le jeudi 10 mai 2012 à 16:06:54
Inscrit le mercredi 8 décembre 04 - 3122 commentaires

Ce que je ne comprend pas, c'est que le destinataire du paysafecard doit bien être identifiable ?

Avatar de jb18v INpactien
jb18v Le jeudi 10 mai 2012 à 16:09:09
Inscrit le lundi 23 mai 05 - 105815 commentaires
ah une mise à jour de la version gendarmerie, qui remplacait l'explorer
Avatar de copaz INpactien
copaz Le jeudi 10 mai 2012 à 16:09:26
Inscrit le vendredi 11 juin 10 - 407 commentaires

Ce que je ne comprend pas, c'est que le destinataire du paysafecard doit bien être identifiable ?



En effet, si tu signales le code PIN utilisé au service client, le compte sera bloqué et tes sous redonnés.
Mais ils doivent avoir un nombre important de compte différent
Avatar de manu28 INpactien
manu28 Le jeudi 10 mai 2012 à 16:11:28
Inscrit le jeudi 1 février 07 - 792 commentaires

(Mauvaise foie )


Dans ce cas là il faut arrêter de boire mon vieux
Avatar de turrican INpactien
turrican Le jeudi 10 mai 2012 à 16:12:07
Inscrit le samedi 27 novembre 04 - 312 commentaires
Je connais quelqu'un qui a payé pour ce genre de connerie 100€ !

A priori ça passe facilement via les mails, même avec un AV (enfin peut-être pas tous)
;