Un redoutable ransomware en circulation
Catégorie : Hacking Publié le 24/08/2020

On connaît tous maintenant ces fameux virus qui cryptent de nombreux fichiers, et "promet" de les déchiffrer à condition qu'une rançon soit payée. La plupart des ransomwares se contentait juste de chiffrer des fichiers et d'afficher un message annonçant le cryptage à la volée et demandant ainsi une rançon, pouvant parfois atteindre des milliers d'euros.

Mais en ce moment, un ransomware nommé DarkSide circule, et s'annonce comme étant un véritable monstre hyper dangereux ...

Le ransomware DarkSide cible en particulier les entreprises; pour pouvoir atteindre son objectif jusqu'au bout, ce virus exécute une commande PowerShell qui permet d'effacer les Shadow Volume Copies d'un système, le but étant de neutraliser la restauration de fichiers. Les rançons exigées par le ransomware atteindraient entre 200 000 et 2 millions de dollars !

virus ransomware

Il aurait déjà frappé de nombreuses entreprises, et les cybercriminels informent qu'ils ne souhaitent pas viser certains établissements comme les hôpitaux, les écoles et universités, ou organisations à but non lucratif. Pourtant, malgré l'annonce des pirates, personne n'est à l'abri d'un tel produit destructeur.

Il faut pourtant savoir que MalwareHunterTeam a déniché des informations précieuses dans le code du virus; celui-ci étant semblable à d'autres virus comme REvil ou GrandCrab, il utilise GetSystemDefaultUILanguage &  GetUserDefaultLangID  qui est très rare dans les ransomwares. D'autres analyses des hackers éthiques montrent qu'il y a des similitudes entre DarkSide et les 2 virus que j'ai cité tout à l'heure; notamment au niveau de la commande PowerShell utilisée pour neutraliser la restauration de fichiers, et le template du fichier ReadMe.txt.

D'après des experts, le virus procède à l'extinction de diverses bases de données, applications bureautiques, clients de messagerie, etc. pour ensuite préparer la machine au chiffrement. Il a été également rapporté que le ransomware utilise le chiffrement de flux SALSA20, et que les fichiers peuvent aussi être chiffrés via une clé publique RSA-1024 incluse dans l'exécutable. Chaque victime aura également une extension personnalisée générée à partir d'un checksum de l'adresse MAC de la victime. Ainsi, chaque exécutable est personnalisé pour inclure une rançon Welcome To Dark, qui comprendre la quantité de données volées, les types de données et un lien vers leurs données sur le site de fuite de données (source: BleepingComputer).