Le groupe de sécurité de Cisco a récemment mis en évidence un malware se faisant passer pour un ransomware. Mais une fois le paiement effectué, la victime se rend compte que ses fichiers ne seront jamais récupérés. Et pour cause : ils ont été effacés.
Un ransomware, ou « rançongiciel », fonctionne toujours de la même manière. Il se déguise souvent sous forme de logiciel sans danger ou dont l’objectif est d’aider les utilisateurs, quitte à lui promettre monts et merveilles. Il peut également être présent comme parasite dans un installeur à la base authentique. Une fois lancé, il chiffre les fichiers personnels de l’utilisateur puis lui réclame une rançon, la plupart du temps en bitcoins via une adresse située dans le réseau Tor.
Un déguisement de ransomware
On a pu voir récemment que certains concepteurs pouvaient s’amuser à rendre un ransomware inoffensif en fournissant la précieuse clé de déchiffrement à des fins « éducatives ». Mais Talos, le groupe de sécurité de Cisco, avertit d’un nouveau genre : le ransomscam. Comprendre un malware qui prétend être un ransomware, mais qui n’en est pas un.
Le premier, récemment découvert, a été nommé Ranscam. Comme l’explique Talos, son exécution ne chiffre pas les fichiers : il les supprime directement. Il affiche ensuite un panneau d’information pour expliquer à la victime que ses données ont été chiffrées. Seule solution pour les récupérer, payer la rançon de 0,2 bitcoin, soit au cours actuel environ 116 euros. Tout est fait pour que l’utilisateur ait peur et paye la somme demandée, d’autant qu’elle est assez peu élevée.
L'utilisateur paye et... rien
Malheureusement, et comme on s’en doute, l’utilisateur ne reverra jamais ses données, qu’il ait payé ou non. Talos recommande évidemment de ne pas verser le moindre centime, et indique qu’il y a pour l’instant deux éléments positifs. D’une part, l’attaque semble pour le moment très limitée et ne touchant donc que très peu de personnes. D’autre part, les auteurs de Ranscam n’auraient pas perçu la moindre somme pour l’instant.
Il est difficile de savoir quel est réellement l’objectif réel de ce malware. Les ransomwares se sont multipliés ces dernières années car l’activité est globalement rentable : beaucoup de victimes payent. Elle fonctionne d’autant mieux que dans la plupart des cas, la clé est envoyée et les données sont bien récupérées. C’est d’ailleurs en se basent sur ce constat que le FBI avait recommandé très officiellement de payer la rançon, à l’inverse de la gendarmerie française.
Une remise de la fragile confiance autour des ransomwares
Le fait est que Ranscam est un type de malware qui peut causer du tort… à d’autres malwares. Si les victimes ne récupèrent par leurs données et constatent au contraire qu’elles ont tout bonnement disparu, elles ne s’aventureront pas à payer la fois suivante, si elle se présente, sans parler de passer le mot et de raconter leur mésaventure. C’est bien la notion de « confiance » toute relative autour des ransomwares qui pourrait en être brisée. Certains diront même peut-être merci aux auteurs de Ranscam pour avoir jeté un tel pavé dans la marre.
