Les créateurs du rançongiciel Maktub veulent votre argent. Et vite.

L’infection Maktub Locker se propage à travers la voie habituelle : un e-mail indésirable provenant d’une entreprise contenant un fichier exécutable (.exe) masqué sous la forme d’un texte ou document pdf. Ce fichier ouvrira un fichier texte intitulé « Mise à jour de nos politiques de confidentialité et conditions d’utilisation du service » que nous lirons car chacun d’entre nous lit systématiquement ce type de texte, n’est-ce pas ? Mais pendant notre lecture, le fichier original va commencer son œuvre de chiffrement de nos fichiers à l’image des autres CryptoLockers. Ce message apparaît ensuite tout d’un coup sur notre écran :

 

maktub-infection-window

Tous nos fichiers ont été chiffrés et dotés de l’extension « .rdbmh », et les fichiers sont également de taille plus réduite (probablement compressée).

Nous allons donc visiter leur site Internet pour pousser notre investigation jusqu’au bout. Après avoir entré notre clé publique sur le site Internet, nous accédons à un site très bien fait en termes de procédure de paiement qui ressemble à ceci :

 

maktub-web

Ces gars peuvent être malintentionnés mais ils n’en sont pas moins très attentionnés ! Si vous éprouvez encore des doutes concernant le fonctionnement du système de paiement, ils vous expliquent tout dans les moindres détails sur leur site Internet sympathique (et vont jusqu’à vous proposer des liens sur l’achat de bitcoins). Ces cinq pages vous exposent les aspects suivants :

  1. Ce qui est arrivé à vos fichiers
  2. Ils vous laissent déchiffrer deux de vos fichiers gratuitement
  3. Le site affiche les prix, mais il est intéressant de les voir croître au fur et à mesure que les jours passent. Pendant les trois premiers jours, la rançon exigée par Maktub se limite à 1,4 BTC mais elle s’élève déjà à 3,9 au bout de deux semaines. Le prix de la rançon en vigueur sur le marché est ainsi généralement compris entre 515 à 1 450 €.
  4. Le site montre le degré d’automatisation du processus dans son ensemble et la manière dont vos fichiers seront automatiquement déchiffrés après paiement à l’adresse indiquée.
  5. Ses auteurs vous aident aussi à trouver des endroits où obtenir des bitcoins.

Ils sont d’un abord apparemment très courtois et font tout pour vous faciliter les choses. Mais leur but avoué est de vous voir payer. Faire gonfler le montant dû au fil du temps — ce que l’on appelle la tarification dynamique et progressive dans le monde des affaires — n’est qu’un moyen de vous mettre sous pression pour vous inciter à envoyer la monnaie, et dans les meilleurs délais. Mais comme nous le recommandons systématiquement, ne payez pas la rançon. Ceci les encouragera à poursuivre dans leur manœuvre d’extorsion d’argent. Il vous suffit d’être prudent et de ne jamais ouvrir aucun fichier suspect en pièce jointe à un e-mail.

Avira détecte d’ores et déjà ce logiciel malveillant sous l’étiquette « TR/FileCoder ».

Cet article est également disponible en: AnglaisAllemandItalien