Trekkie ransomware – your files may be safe in the shadows, Trekkie-Ransomware, ransomware Trekkie, ransomware kirk

Ransomware Trekkie : vos fichiers sont sûrement en sécurité, dans l’ombre

Un ransomware sur le thème de Star Trek a été détecté dans la cybersphère. Mais l’association criminelle retient les fichiers des victimes potentielles du ransomware Trekkie en sécurité dans l’ombre.

« Cela n’a rien à voir avec Borg et ne ressemble pas non plus à du Klingon, du moins dans cette version proprement dite », annonce M. Moritz Kroll, chercheur en logiciels malveillants chez Avira Protection Services. « Ce n’est peut-être qu’une version d’essai préliminaire. »

Trekkie ransomware – your files may be safe in the shadows, Trekkie-Ransomware

Ne cédez pas à la panique !

Les victimes de ce ransomware ne doivent pas paniquer. Nous leur conseillons plutôt d’essayer de récupérer leurs fichiers à partir de la Shadow Copy fournie par Windows, car la Shadow Copy n’est pas supprimée par le ransomware, comme c’est le cas dans la plupart des autres variantes de ransomware, remarque M. Kroll.

Toutefois, le moins que l’on puisse dire, c’est que ce ransomware ne se déplace pas à la vitesse de l’éclair. En fait, M. Kroll est convaincu que ce ransomware ne fait pas partie d’une campagne de grande envergure ni qu’il est véritablement ciblé. « Jusqu’à présent, seuls deux utilisateurs ont demandé des informations sur ce fichier dans notre cloud et il pourrait s’agir de chercheurs » explique-t-il. « Il peut s’agir d’une version d’essai, détectée par des chercheurs en sécurité avant même que ce ransomware ne soit lancé dans le monde entier. »

Deux détails techniques sur le ransomware Trekkie

Outre la marque de fabrique Trekkie, ce ransomware se distingue de deux manières. Premièrement, il est écrit dans le langage de programmation Python, ce qui n’est pas très courant pour un logiciel malveillant. Deuxièmement, il exige le paiement d’une rançon effectué en Monero, une crypto-monnaie relativement méconnue contrairement aux Bitcoins. Les victimes reçoivent une demande limitée dans le temps qui commence à 50 Monero (107 euros) et peut atteindre les 500 Monero au bout de deux semaines. Au bout d’un mois, les méchants menacent de supprimer la clé de déchiffrement nécessaire, laissant leurs victimes sans recours pour récupérer leurs fichiers.

Comme signalé dans Bleeping Computer, le ransomware Trekkie se fait passer pour l’outil de test de réseau « Low Orbital Ion Cannon », ce qui sonne comme de la science-fiction. Le fichier exécutable nommé loic_win32.exe génère un mot de passe AES utilisé pour chiffrer les fichiers de la victime. Cette clé AES est ensuite chiffrée par une clé de chiffrement publique RSA-4096 intégrée puis sauvegardée dans le fichier nommé pwd. Ne supprimez pas ce fichier pwd car il contient la clé.

 

Trekie ransomware message

 

« « Kirk » vous donnera de « bons conseils » dans la boîte de messagerie, pour les utilisateurs vraiment curieux » ajoute M. Kroll. « Nous vous conseillons de NE PAS exécuter ce fichier une deuxième fois. » Comme c’est mignon, des programmeurs de ransomware avec un sens de l’humour (noir).

Après cette probable version d’essai, de futures versions du ransomware Trekkie pourraient faire leur apparition, mais leur mode de diffusion est encore incertain. Les précautions d’usage s’appliquent toujours : assurez-vous que votre antivirus est actif, mettez à jour vos logiciels, mettez un  en place et ne cliquez pas sur les liens suspects.


Article associé

https://blog.avira.com/fr/5-conseils-pour-eviter-les-pieges-des-rancongiciels/


Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.