g3n-h@ckm@n Ransomware & Rançongiciels

Mode de fonctionnement d'un malware caché ou ransomware par mail piégé, par g3n‑h@ckm@n.

Mode de fonctionnement d'un malware caché ou ransomware par mail piégé, par g3n-h@ckm@n.

J'ai fait plusieurs recherches sur des sites de matériel audio sur Google (rien de mieux pour se faire pister me direz-vous ;) ) pour avoir un mode d'emploi de mon Roland PMA‑5 car j'avais quelques lacunes quant à son utilisation. 

Quelques jours après je reçois un mail d'une adresse dont je n'ai pas retenu le nom, mais qui correspondait à ce que je cherchais, c'est-à-dire mon mode d'emploi.

  • Non mécontent d'avoir une réponse (après 15 j d'attente), je télécharge donc le fichier PDF.

  • Fichier que je m'empresse d'ouvrir afin de découvrir son contenu.

Je consulte donc mon PDF pendant une demi-heure pour voir si il est complet et si j'y trouve ce que je souhaite…

Néanmoins mon pc commence à ramer et à se comporter bizarrement… :scratch:  

 

  • Je fais un petit tour dans les dossiers voir ce qui se passe, et.…..HORREUR !!! quand je regarde dans mon dossier photos voici ce que j'y trouve :

Toutes mes photos ont une extension ajoutée et plus moyen de les ouvrir, même chose pour les musiques, vidéos, mon travail de plusieurs mois que je n'avais pas pensé à sauvegarder au cas-où, croyant être assez méfiant…je panique, et je fais bien ! mur

  • Je me dis que ce n'est pas normal et décide de jeter un œil dans le gestionnaire des tâches…

  • Je vois bien mon lecteur PDF avec ma page de mode d'emploi…Mais en descendant un peu je vois un processus avec un drôle de nom :

  • Je clique droit => accéder aux détails, puis clique droit => ouvrir l'emplacement du fichier :

Je tombe dans le dossier des fichiers temporaires où je vois bien mon fichier PDF et ce fameux processus avec un nom bizarre qui a quasi été déposé là en même temps que mon PDF.

J'ai vite compris que je m'étais fait piéger avec ce PDF par mail et qu'en fait c'était un virus qui était même parti avant que mon mode d'emploi s'ouvre.

malware caché ou ransomware

Mais comment un fichier PDF peut-il créer un virus me direz-vous ?

 

  • Je décide donc d'analyser ce fichier PDF que j'ai téléchargé via ma boite mail, sur Virustotal :

12 détections ça fait un peu beaucoup, mais observez bien le nom du fichier en réalité…

  • Je veux vérifier en affichant les extensions…

  • Du coup on s'aperçoit qu'en fait c'était un exécutable qui contenait bien mon PDF mais aussi ce satané virus qui m'a foutu en l'air tous mes fichiers.….

Et apparemment c'est un truc tout nouveau car très peu d'antivirus le détectent et ils n'ont pas encore eu le temps de le mettre en liste noire dans leurs bases de données. mur

Pour ce qui est de décrypter les fichiers cryptés, l’algorithme de cryptage est tellement compliqué que dans 80 % des cas il est impossible de les récupérer intacts pour le moment, les plus gros antivirus se cassent le nez sur le décryptage.

Mode de fonctionnement d'un malware caché ou ransomware par mail piégé,

Moralité

 

1 – Toujours vérifier sur Virustotal un fichier qu'on télécharge par mail que ce soit d'une adresse inconnue ou même celle d'un ami (ce dernier a pu se faire pirater son compte et les malfrats l'utilisent pour faire encore plus de victimes).

2 – Toujours analyser aussi via son propre antivirus.

3 – Bloquer les adresses mail de personnes qu'on ne connait pas et qui vous écrivent, et le cas échéant, les signaler en "tentative de hameçonnage".

4 - Éviter de cliquer sur un lien qui vous promet de gagner je ne sais quoi, une page html avec du code caché peut être tout aussi dangereuse que ce que je viens de subir avec ce fichier au nom farfelu.

g3n‑h@ckm@n

Les autres articles de g3n‑h@ckm@n :

autres articles

Rejoignez la Communauté SOSPC et accédez à des contenus et des avantages exclusifs à partir d'1,70€/Mois avec l'abonnement annuel ! Cliquez ICI pour obtenir plus d'infos et consulter tous les abonnements disponibles. ;-)

Christophe. Administrateur.

S’abonner à cette discussion
Notifier de
guest
23 Commentaires
Inline Feedbacks
View all comments
FERNAND

:good:

GLZ

Pour moi, les deux bases simples et permanentes, c'est :

- configurer l'explorateur de fichier pour qu'il affiche toujours les extensions des fichiers ("affichage", "option", onglet "affichage", décocher "masquer les extensions des fichiers dont le type est connu", alors, le ".exe" aurait été vu…).

- ne jamais cliquer sur une pièce jointe, mais la télécharger sur le disque dur pour, ensuite, l'ouvrir depuis le disque. Si le 1/° a été fait, on voit tout de suite que le type de fichier à charger… (et, en plus, cela passe par l'antivirus).

GLZ

Didier

Bonjour a tous

Effectivement, on devrait utiliser systématiquement Virustotal pour analyser la pièce jointe .….….…
J'avais fais un petit article à ce sujet

https://sospc.name/doute-piece-jointe-utilisez-virustotal-didier/
Toujours d'actualité

Cordialement :bye:

Visio3

Bonjour g3n‑h@ckm@n Merci pour cette article et désolè pour votre mésaventure Ma boite Mail Free a été hacké voilà quelque temps (J'ai du la fermer définitivement) J'ai reçu des tas de messages (Indiquant en gros mon mot de passe) et m'invitant à me décharger de plusieurs centaines de bitcoin Des messages en français, anglais, allemand .… et même en coréen et japonais (Merci Deepl pour l'aide à la traduction ) Mais dans mon cas, "on" voulait s'attaquer directement à mon portefeuille Mais pour vous, pas de message, pas de demande de rançon .….. Alors quel est la motivation des pirates ?… Lire la suite »

Serge51

Bonjour à tous et merci pour l'information !

J'espère que "g3n‑h@ckm@n" n'est pas un malware sinon gare à nous ! 

Trêve de plaisanteries , j'utilise Virus Total à partir du logiciel Glasswire en version payante et je pense qu'il aurait vu la supercherie, mais je ne suis pas sur !

Serge51

J'utilise Glasswire depuis pas moins de 3 à 4 ans et je n'ai jamais rencontré de souci. Je ne comprends pas d'où peut provenir ton blocage.
De plus c'est un outil très efficace pour contrôler chaque événement ou modifications qui peuvent intervenir sur ton PC.

Serge51

Je pense que c'est normal. Total Virus doit être activé dans les paramètres de GlassWire et n'est disponible que sur la version payante.

Christian 59

Bonjour et oui toujours le même problème des arnaqueurs .
Ces jours-ci je reçois des messages de FREE bien conçus comme quoi j'ai gagné un I phone.
Et ceci sur deux adresses émail.
Grâce à Foxmail je les vois avant la récupération dont poubelle direct et mis en liste noire des expéditeurs.
La rentrée va être bien polluée comme chaque année.
Bon amusement avec les attaques.….…et merci Foxmail !!!!
Amitiés
Christian 59

Jean-Marc

Bonjour g3n…

Merci pour ton article qui nous rappelle bien que l’on n’est jamais complètement à l’abris d’une attaque virale.
D’ou évidemment l’importance d’une sauvegarde régulière de nos données.

Cordialement.

serge91

Bonjour à tous bg
Bien vu pour l'explication de l'installation de cette M.…! :cry:
la suite de l’histoire à tu pus récupérer tes fichiers ou tout au moins une partie, as tu trouvé une solution ?

GREY CAT

Bonjour

Pour ceux qui se font piéger , on peut tenter de passer par des sites d'analyse du ransomware qui proposent ensuite quelques outils pour déchiffrer les dossiers bloqués 

https://www.nomoreransom.org/fr/index.html

https://noransom.kaspersky.com/fr/

https://id-ransomware.malwarehunterteam.com/

23
0
Nous aimerions avoir votre avis, n'hésitez pas à laisser un commentaire.x