Virus CTB-Locker : Attention aux mails de mise à jour Windows 10 !

Début février, nous vous informions des nouvelles versions de ce ransomware en circulation (voir l’article)

 

 

Le virus CTB Locker déjà de retour avec Windows 10 : attention aux mails de mises à jour.

 

Depuis 2 jours, une nouvelle campagne de pishing utilisant le ransomware CTB-Locker vient de voir le jour en profitant de la mise à jour vers Windows 10.
La pièce jointe malveillante est un fichier Zip et non plus un fichier Word.

Disponible depuis le 29 juillet dernier, Windows 10 est proposé gratuitement aux utilisateurs de Windows 7 (SP1) et Windows 8 pendant 1 an.

Profitant de cette actualité, une nouvelle version de CTB-Locker vient de voir le jour. L’e-mail, prétendument expédié par Microsoft, utilise le code couleur de la firme mondiale, afin de tromper les destinataires. Le texte, rédigé en anglais, reprend les caractéristiques phares de la nouvelle version de l’OS, tels que le retour du bouton « Démarrer », l’intégration du navigateur Edge, et la compatibilité avec la configuration matérielle et l’ensemble des applications installées.

Après quoi, les destinataires du mail sont invités à cliquer sur le fichier Zippé joint au mail, intitulé « Win10Installer ».

Contrairement aux autres versions de ce ransomeware, cette fois-ci CTB-Locker ne laisse que 96 heures à l’utilisateur pour payer.

Plus techniquement, cette nouvelle variante utilise des adresses IP codées en dur et des ports non standards pour communiquer avec les pirates, et non des sites internet développés sous Wordpress compromis comme intermédiaires pour contrôler l’ordinateur ou le serveur infecté (comme c’était le cas pour les précédentes version de CTBLocker)

 

 

Un email imparfait

 

Comme il est d’usage, l’adresse e-mail expéditrice du message n’existe pas. Il suffit d’y envoyer un courrier pour s’en apercevoir. Si l’on regarde le contenu du message, certains caractères s’affichent mal. Enfin, le mail se termine par un message informant que le mail a été scanné par un antivirus, et suggère son côté inoffensif pour rassurer les destinataires.

 

 

Microsoft et les communications de mise à jour

 

D’une façon générale, Microsoft n’envoie jamais de mail à ses utilisateurs pour informer de la disponibilité d’une mise à jour, notamment parce que l’éditeur ne dispose généralement pas de ces adresses emails. Le ransomeware CTB-Locker compte donc sur l’impatience de certains destinataires pour cliquer sur le mail.

Aucun antivirus n’est capable de détecter cette nouvelle version à l’heure actuelle. Il faut donc sensibiliser tous les utilisateurs de votre entreprise afin de ne pas ouvrir la pièce jointe.

 

Pour information, rappel des caractéristiques de ce ransomware :

  • Email envoyé avec une pièce jointe malveillante qui va installer un programme sur votre ordinateur et chiffrer les données,
  • Aussitôt installée, un chantage demandant le versement d’une rançon s’engage,
  • Le cybercriminel accède à la machine via des accès externes, ouverts sur internet
  • Les mots de passe de faible sécurité sont facilement découverts,
  • Le pirate prend ensuite la main sur le serveur, désactive l’antivirus, et lance le chiffrement de tous les fichiers de données,
  • Attention CryptoLocker chiffre également les sauvegardes et lecteurs réseaux.

 

 

Axido, votre partenaire sécurité

 

Axido est un prestataire informatique depuis plus de 20 ans. Nous vous proposons des prestations en matière de sécurité informatique entreprise afin de protéger vos infrastructures, données et postes de travail.

De l’audit de sécurité informatique en passant par le déploiement et la mise à jour de vos dispositifs de sécurité (parefeu, antivirus, …) jusqu’au conseil en cybersécurité, nos techniciens vous accompagnent pour mettre en place une stratégie de sécurité efficiente adaptée à vos besoins.

Vous souhaitez en savoir plus ? 
Contactez-nous !

contact axido
Retour vers le haut

Découvrir les fonctionnalités