g3n-h@ckm@n Ransomwares & Rançongiciels

Mode de fonctionnement d'un malware caché ou ransomware par mail piégé, par g3n-h@ckm@n.

Mode de fonctionnement d'un malware caché ou ransomware par mail piégé, par g3n-h@ckm@n.

J'ai fait plusieurs recherches sur des sites de matériel audio sur Google (rien de mieux pour se faire pister me direz-vous ;) ) pour avoir un mode d'emploi de mon Roland PMA-5 car j'avais quelques lacunes quant à son utilisation.

Quelques jours après je reçois un mail d'une adresse dont je n'ai pas retenu le nom, mais qui correspondait à ce que je cherchais, c'est-à-dire mon mode d'emploi.

  • Non mécontent d'avoir une réponse (après 15 j d'attente), je télécharge donc le fichier PDF.

  • Fichier que je m'empresse d'ouvrir afin de découvrir son contenu.

Je consulte donc mon PDF pendant une demi-heure pour voir si il est complet et si j'y trouve ce que je souhaite...

Néanmoins mon pc commence à ramer et à se comporter bizarrement... :scratch:  

 

  • Je fais un petit tour dans les dossiers voir ce qui se passe, et......HORREUR !!! quand je regarde dans mon dossier photos voici ce que j'y trouve :

Toutes mes photos ont une extension ajoutée et plus moyen de les ouvrir, même chose pour les musiques, vidéos, mon travail de plusieurs mois que je n'avais pas pensé à sauvegarder au cas-où, croyant être assez méfiant...je panique, et je fais bien ! mur

  • Je me dis que ce n'est pas normal et décide de jeter un œil dans le gestionnaire des tâches...

  • Je vois bien mon lecteur PDF avec ma page de mode d'emploi...Mais en descendant un peu je vois un processus avec un drôle de nom :

  • Je clique droit => accéder aux détails, puis clique droit => ouvrir l'emplacement du fichier :

Je tombe dans le dossier des fichiers temporaires où je vois bien mon fichier PDF et ce fameux processus avec un nom bizarre qui a quasi été déposé là en même temps que mon PDF.

J'ai vite compris que je m'étais fait piéger avec ce PDF par mail et qu'en fait c'était un virus qui était même parti avant que mon mode d'emploi s'ouvre.

malware caché ou ransomware

Mais comment un fichier PDF peut-il créer un virus me direz-vous ?

 

  • Je décide donc d'analyser ce fichier PDF que j'ai téléchargé via ma boite mail, sur Virustotal :

12 détections ça fait un peu beaucoup, mais observez bien le nom du fichier en réalité...

  • Je veux vérifier en affichant les extensions...

  • Du coup on s'aperçoit qu'en fait c'était un exécutable qui contenait bien mon PDF mais aussi ce satané virus qui m'a foutu en l'air tous mes fichiers.....

Et apparemment c'est un truc tout nouveau car très peu d'antivirus le détectent et ils n'ont pas encore eu le temps de le mettre en liste noire dans leurs bases de données. mur

Pour ce qui est de décrypter les fichiers cryptés, l’algorithme de cryptage est tellement compliqué que dans 80 % des cas il est impossible de les récupérer intacts pour le moment, les plus gros antivirus se cassent le nez sur le décryptage.

Mode de fonctionnement d'un malware caché ou ransomware par mail piégé,

Moralité

 

1 - Toujours vérifier sur Virustotal un fichier qu'on télécharge par mail que ce soit d'une adresse inconnue ou même celle d'un ami (ce dernier a pu se faire pirater son compte et les malfrats l'utilisent pour faire encore plus de victimes).

2 - Toujours analyser aussi via son propre antivirus.

3 - Bloquer les adresses mail de personnes qu'on ne connait pas et qui vous écrivent, et le cas échéant, les signaler en "tentative de hameçonnage".

4 - Éviter de cliquer sur un lien qui vous promet de gagner je ne sais quoi, une page html avec du code caché peut être tout aussi dangereuse que ce que je viens de subir avec ce fichier au nom farfelu.

g3n-h@ckm@n

Les autres articles de g3n-h@ckm@n :

autres articles

Christophe Webmaster Sospc.name

Rejoignez la Communauté SOSPC et accédez à des contenus

et des avantages exclusifs à partir de 2€/Mois ou 20€/An !

Cliquez ICI pour obtenir plus d'infos et vous abonner. ;-)

Christophe. Administrateur.

Laisser un Commentaire

:bye: 
:good: 
:negative: 
:scratch: 
:wacko: 
:yahoo: 
B-) 
:-) 
:whistle: 
:yes: 
:cry: 
:mail: 
:-( 
:unsure: 
;-) 
tropbien 
mdr 
bg 
js 
petbjr 
pbpr 
pfe 
vv 
sos 
pcccccccc 
mur 
bdj 
cr 
tg 
aid 
BluesB 
DieuD 
 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

22 Commentaires

  • Pour moi, les deux bases simples et permanentes, c'est :

    - configurer l'explorateur de fichier pour qu'il affiche toujours les extensions des fichiers ("affichage", "option", onglet "affichage", décocher "masquer les extensions des fichiers dont le type est connu", alors, le ".exe" aurait été vu...).

    - ne jamais cliquer sur une pièce jointe, mais la télécharger sur le disque dur pour, ensuite, l'ouvrir depuis le disque. Si le 1/° a été fait, on voit tout de suite que le type de fichier à charger... (et, en plus, cela passe par l'antivirus).

    GLZ

      • Et pour les extension dont le type est connu, l'utilisateur lambda ne le sait pas forcément et comme quand on achète un pc avec le système préinstallé les extensions ne sont pas visibles on se fait facilement avoir......

  • Bonjour g3n-h@ckm@n :bye:

    Merci pour cette article :good: et désolè pour votre mésaventure :cry:

    Ma boite Mail Free a été hacké voilà quelque temps (J'ai du la fermer définitivement)
    J'ai reçu des tas de messages (Indiquant en gros mon mot de passe) et m'invitant à me décharger de plusieurs centaines de bitcoin
    Des messages en français, anglais, allemand .... et même en coréen et japonais (Merci Deepl pour l'aide à la traduction :good: )

    Mais dans mon cas, "on" voulait s'attaquer directement à mon portefeuille mur

    Mais pour vous, pas de message, pas de demande de rançon ...... Alors quel est la motivation des pirates ? A part de vous mettre dans l'ennui :unsure: ?

    • Parce qu'il y en a qui testent l 'impact pour voir si ca va leur rapporter avant d'en faire un moyen de se remplir les poches, ....je pense que le malware a du envoyer sur je ne sais quel serveur un rapport des dégats qu'il a causé sur une vingtaine ou même centaine de personnes.......car il doivent se dire, risque pris pour risque pris autant que ca rapporte bien...après, je ne suis pas dans leur tête (heureusement d'ailleurs, je ne suis pas du coté obscur lol )

  • Bonjour à tous et merci pour l'information !

    J'espère que "g3n-h@ckm@n" n'est pas un malware sinon gare à nous !

    Trêve de plaisanteries , j'utilise Virus Total à partir du logiciel Glasswire en version payante et je pense qu'il aurait vu la supercherie, mais je ne suis pas sur !

      • Bon ben y 'aura pas de tests car après installation de Glasswire et utilisation avec paramètres par défaut plus moyen d'accéder à internet il bloque tout donc.......pour moi c'est une grosse mer$e ce logiciel

        • J'utilise Glasswire depuis pas moins de 3 à 4 ans et je n'ai jamais rencontré de souci. Je ne comprends pas d'où peut provenir ton blocage.
          De plus c'est un outil très efficace pour contrôler chaque événement ou modifications qui peuvent intervenir sur ton PC.

  • Bonjour et oui toujours le même problème des arnaqueurs .
    Ces jours-ci je reçois des messages de FREE bien conçus comme quoi j'ai gagné un I phone.
    Et ceci sur deux adresses émail.
    Grâce à Foxmail je les vois avant la récupération dont poubelle direct et mis en liste noire des expéditeurs.
    La rentrée va être bien polluée comme chaque année.
    Bon amusement avec les attaques........et merci Foxmail !!!!
    Amitiés
    Christian 59

    • Bonjour le mail on peut l ouvrir , ce qu il ne faut pas faire , c'est cliquer sur les liens ou executer les fichiers proposés en téléchargement sans les vérifier comme je l 'ai indiqué via Virustotal au minimum.

      le plus flagrant dans les mails de ce style ce sont les fautes d'orthographe quoique ces derniers temps ils ont fait des efforts s'attaquant plus principalement à la France

  • Bonjour g3n...

    Merci pour ton article qui nous rappelle bien que l’on n’est jamais complètement à l’abris d’une attaque virale.
    D’ou évidemment l’importance d’une sauvegarde régulière de nos données.

    Cordialement.

    • Bonjour

      et encore fut un temps il y avait un ransomware qui modifiait carrément la table de partition du disque dur sous peine de déblocage grâce à un paiement en coupon ou bitcoin je ne sais plus , celui-ci était vraiment coriace, le seul moyen de débloquer c'était de démarrer sur un live cd et de remettre la partition en NTFS ( Système de fichiers de Windows ) sinon impossible de démarrer normalement, à chaque fois on tombait sur la fameuse page "votre ordinateur est bloqué etc, etc, etc..... )

  • Bonjour à tous bg
    Bien vu pour l'explication de l'installation de cette M....! :cry:
    la suite de l’histoire à tu pus récupérer tes fichiers ou tout au moins une partie, as tu trouvé une solution?