Il y a toujours des surprises dans le monde du ransomware, et le malware Zorab en est une. Détecté par le chercheur en sécurité Michael Gillespie, c’est un cheval de Troie qui se présente sous le nom de « Decrypter Djvu » et qui propose une solution de déchiffrement pour le ransomware « STOP Djvu ». Mais ceux qui tombent dans le panneau déchantent rapidement. En réalité, ce logiciel ne déchiffre rien du tout. Au contraire, il va de nouveau chiffrer les fichiers et, à la fin, afficher un message de rançon. Les victimes se retrouvent donc avec deux rançons à payer.
Hmm, someone released a decryptor for #STOP #Djvu?
Oh wait… it's more fucking #ransomware. Don't trust anything you find online saying it can decrypt Djvu unless it is from ME. This is just one example of the shaddy shit victims are falling for when they don't believe me. pic.twitter.com/eWjtB8UpJe— Michael Gillespie (@demonslay335) June 5, 2020
La logique économique derrière cette stratégie semble néanmoins assez bancale. « Qui va payer pour déchiffrer des fichiers qui étaient déjà chiffrés ? », se demande un chercheur en sécurité sur Twitter. En effet, cette seconde rançon augmente le coût total et double le risque de payer pour rien, si les pirates ne remplissent pas leur promesse. Cela ne va donc pas franchement encourager la victime à mettre la main au porte-monnaie. Il faudrait que les données chiffrées soient vraiment très importantes pour que la personne saute le pas.
C’est d’autant plus vrai que les victimes de Stop Djvu ne sont pas des utilisateurs qui roulent sur l’or. Ils cherchent justement à éviter les paiements, quitte à le faire de manière illégale. En effet, ce ransomware, qui a actuellement le vent en poupe, est principalement diffusé au travers de logiciels craqués.
Source: BleepingComputer
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
