Google avertit les utilisateurs d'une augmentation des attaques de phishing parrainées par le gouvernement utilisant le ransomware NetWalker pendant la pandémie de COVID-19.
Alors que partout dans le monde, les gens passent leurs journées en quarantaine et adhèrent aux directives de distanciation sociale en raison du coronavirus, les cybercriminels ont profité de cet événement historique sans précédent pour profiter de victimes sans méfiance tout en propageant de nouvelles variantes de ransomware via une série de menaces. de campagnes de phishing agressives contre le coronavirus.
Un de ceux-là ransomware variantes est le ransomware NetWalker.
Des télétravailleurs, des entreprises, des entités gouvernementales et des organismes de santé auraient tous été victimes des attaques NetWalker.
Deux cas largement rapportés impliquant NetWalker ont été menés contre le Toll Group, une société australienne de transport et de logistique, et contre le site Web du district de santé publique de l'Illinois Champaign-Urbana, qui a temporairement empêché leurs employés d'accéder à des fichiers et des données importants. Cette dernière attaque était suffisamment grave pour forcer le FBI et le Département de la Sécurité intérieure à intervenir.
Netwalker Ransomware est un cheval de Troie de verrouillage de fichiers qui est une variante d'une menace repérée pour la première fois en 2019 appelée Mailto Ransomware. Les pirates derrière Netwalker Ransomware ont redoublé d’efforts pendant l’épidémie de coronavirus, tout comme de nombreux autres cybercriminels qui ont profité de la frénésie entourant le COVID-19 pour lancer des campagnes agressives de spear phishing.
Propagation et cryptage du ransomware Netwalker
Le Netwalker Ransomware semble utiliser des courriers indésirables prétendant héberger un document important qui doit être examiné de toute urgence. Le nom du fichier joint est « CORONAVIRUS_COVID-19.vbs ». Il s'agit d'un fichier de script Visual Basic conçu pour ressembler à un fichier de document authentique et inoffensif. Si l'utilisateur ciblé ouvre le fichier VBS malveillant, il déclenchera l'exécution du Netwalker Ransomware.
Une fois que Netwalker Ransomware est exécuté avec succès, il commencera le processus de cryptage. Cela signifie que toutes les données présentes sur le système de l'utilisateur – documents, images, présentations, bases de données, archives, fichiers audio, feuilles de calcul, vidéos, etc. – seront verrouillées à l'aide d'un algorithme de cryptage. Une fois le processus de cryptage terminé, les fichiers concernés ne seront plus utilisables.
La plupart des menaces de ransomware ont tendance à ajouter une extension fixe à tous les fichiers verrouillés. Cependant, Netwalker Ransomware adopte une approche différente. Ce cheval de Troie cryptant les données génère une extension unique pour chaque victime. Selon les chercheurs, dans le cas de Netwalker Ransomware, il n'y a aucune limitation en termes de caractères lorsqu'il s'agit de générer une extension.
La note de rançon
Le Netwalker Ransomware déposera une demande de rançon sur l'ordinateur des utilisateurs pour leur faire savoir ce qui est arrivé à leurs systèmes. Dans le message de rançon, les attaquants déclarent qu'il n'y a aucun moyen de sortir de cette situation à moins que la victime ne décide de payer les frais de rançon demandés.) Il n'y a aucune mention de frais de rançon spécifiques, il est donc probable que la somme sera calculée individuellement. pour chaque victime. Les auteurs du Netwalker Ransomware demandent à l'utilisateur de télécharger et d'installer le navigateur TOR afin d'accéder à leur site, qui contient des informations et des instructions supplémentaires.
Hello!
Vos fichiers sont cryptés.
Tous les fichiers cryptés pour cet ordinateur ont l'extension : .1401
-
Si pour une raison quelconque vous lisez ce texte avant la fin du cryptage,
cela peut se comprendre par le fait que l'ordinateur ralentit,
et votre fréquence cardiaque a augmenté grâce à la possibilité de l'éteindre,
alors nous vous recommandons de vous éloigner de l'ordinateur et d'accepter que vous avez été compromis,
le redémarrage/l'arrêt vous fera perdre des fichiers sans possibilité de récupération et même Dieu ne pourra pas vous aider,
il peut s'agir de fichiers sur le réseau appartenant à d'autres utilisateurs, êtes-vous sûr de vouloir assumer cette responsabilité ?
-
Nos algorithmes de cryptage sont très puissants et vos fichiers sont très bien protégés, vous ne pouvez pas espérer les récupérer sans notre aide.
La seule façon de récupérer vos fichiers est de coopérer avec nous et d'obtenir le programme de décryptage.
N'essayez pas de récupérer vos fichiers sans programme de décryptage, vous pourriez les endommager et il sera alors impossible de les récupérer.
Nous vous conseillons de nous contacter au plus vite, sinon il est possible que vos fichiers ne vous soient jamais restitués.
Malheureusement, il n’existe actuellement aucune faiblesse connue dans le ransomware. Ce fait rend extrêmement difficile pour les chercheurs en sécurité la création d’un outil de décryptage public. Quoi qu’il en soit, les victimes sont toujours invitées à ne pas payer la rançon demandée. Il n'y a aucune garantie que les pirates restaureront les fichiers comme ils l'ont promis, ou que l'ordinateur ne sera pas à nouveau infecté à l'avenir.
Alors que les cybercriminels profitent d’événements d’actualité importants comme la pandémie de coronavirus, tout le monde devrait être plus vigilant lorsqu’il s’agit d’e-mails suspects prétendant contenir des nouvelles et des informations vitales, car il n’y a généralement aucun signe évident qu’un e-mail puisse contenir un logiciel malveillant. Et n’oubliez jamais de vous en tenir aux sources officielles lorsque vous recherchez vos actualités.
