Le ransomware Cryptowall se cache dans des fichiers d’aide

publié par Laboratoires Antivirus Bitdefender, le 13 March 2015

Selon Bitdefender, leader technologique des solutions antimalware et expert en cybersécurité, une nouvelle vague de spam a récemment touché des centaines de boites e-mail avec une pièce jointe malveillante « .chm » afin de répandre le tristement célèbre ransomware Cryptowall.

Le .chm est une extension de fichier Microsoft utilisée pour les fichiers d’aide dans les logiciels ou sur Internet. Il s’agit de fichiers qui embarquent du HTML, des images et du code JavaScript, ainsi qu’une table des matières avec des liens hypertextes – pour avoir une idée, lancez par exemple l’aide de Windows (touche F1).

Le ransomware Cryptowall se cache dans des fichiers d’aide

Pourquoi ces fichiers d’aide sont si dangereux ?

Les fichiers CHM sont particulièrement interactifs et utilisent de nombreuses technologies dont JavaScript, qui peut rediriger un utilisateur vers une URL externe en ouvrant simplement le fichier CHM. Les attaquants exploitent cette possibilité pour y rattacher une charge malveillante, cette méthode est parfaitement logique puisque moins l’utilisateur a d’actions à réaliser plus il a de chance d’être infecté facilement.

Le ransomware Cryptowall se cache dans des fichiers d’aide

Une fois le fichier CHM ouvert, le code malveillant est téléchargé depuis http://*******/putty.exe, sauvegardé en tant que %temp%\natmasla2.exe et est exécuté localement. Une fenêtre de commande s’affiche pendant le processus.

Le ransomware Cryptowall se cache dans des fichiers d’aide

Cryptowall est une version avancée de Cryptolocker, un ransomware connu pour dissimuler sa charge malveillante sous couvert d’applications ou des fichiers sains. Une fois lancé, le malware chiffre les documents de l’ordinateur infecté afin que les pirates puissent obtenir une somme d’argent en échange de la clé de déchiffrement.

Les ransomwares sont des malwares particulièrement complexes qui représentent un véritable challenge pour les éditeurs de sécurité, qui doivent employer des technologies heuristiques de plus en plus poussées afin de prévenir les attaques et préserver la confidentialité des données.

La campagne d’e-mail est survenue courant février et a ciblé quelques centaines d’utilisateurs. Les serveurs de spams semblent se situer au Vietnam, en Inde, en Australie, aux Etats-Unis, en Roumanie et en Espagne. Après avoir analysé les noms de domaine, les cybercriminels semblent s’en être pris à des utilisateurs dans le monde entier, y compris aux Etats-Unis et en Europe.

Bitdefender détecte ce malware en tant que Trojan.GenericKD.2170937

Comment se protéger contre Cryptowall ?

Parmi les règles de base pour se protéger au maximum des pertes de données liées à ce type d’attaques, il convient de réaliser très régulièrement des sauvegardes de ses documents sur un disque externe au réseau.

Une mesure complémentaire consiste à télécharger gratuitement l’outil Cryptowall Immunizer développé par Bitdefender. Cet outil permet aux utilisateurs d’immuniser leurs ordinateurs et de bloquer le chiffrement des fichiers avant que le cryptoware ne s’active.

Enfin, disposer d’un antivirus performant et mettre à jour les programmes de votre PC sera toujours un rempart supplémentaire contre les menaces.

Cet article a été écrit à partir des spam fournis par Adrian Miron, chercheur en spam chez Bitdefender, et de l’appui technique des analystes malwares Doina Cosovan et Octavian Minea des Laboratoires Bitdefender.

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.