Passer au contenu

Zorab, le ransomware qui s’attaque… aux victimes d’un ransomware

Un malware se fait passer pour un outil de déchiffrement de ransomware. Une fois exécuté, il chiffre une seconde fois les fichiers de la victime qui se retrouve finalement avec deux rançons à payer.

Il y a toujours des surprises dans le monde du ransomware, et le malware Zorab en est une. Détecté par le chercheur en sécurité Michael Gillespie, c’est un cheval de Troie qui se présente sous le nom de « Decrypter Djvu » et qui propose une solution de déchiffrement pour le ransomware « STOP Djvu ». Mais ceux qui tombent dans le panneau déchantent rapidement. En réalité, ce logiciel ne déchiffre rien du tout. Au contraire, il va de nouveau chiffrer les fichiers et, à la fin, afficher un message de rançon. Les victimes se retrouvent donc avec deux rançons à payer.

La logique économique derrière cette stratégie semble néanmoins assez bancale. « Qui va payer pour déchiffrer des fichiers qui étaient déjà chiffrés ? », se demande un chercheur en sécurité sur Twitter. En effet, cette seconde rançon augmente le coût total et double le risque de payer pour rien, si les pirates ne remplissent pas leur promesse. Cela ne va donc pas franchement encourager la victime à mettre la main au porte-monnaie. Il faudrait que les données chiffrées soient vraiment très importantes pour que la personne saute le pas.

C’est d’autant plus vrai que les victimes de Stop Djvu ne sont pas des utilisateurs qui roulent sur l’or. Ils cherchent justement à éviter les paiements, quitte à le faire de manière illégale. En effet, ce ransomware, qui a actuellement le vent en poupe, est principalement diffusé au travers de logiciels craqués.

Source: BleepingComputer

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN