Le ransomware PayForRepair ajoute une étiquette de prix à vos fichiers
Table of Contents
Une autre menace sur la scène cybernétique
Des chercheurs en cybersécurité ont découvert une nouvelle souche de rançongiciel se propageant dans les systèmes infectés : PayForRepair . Ce programme malveillant appartient à la célèbre famille de rançongiciels Dharma et suit un schéma familier, mais dangereux : chiffrer les fichiers et exiger une rançon en échange de leur déchiffrement.
PayForRepair est conçu pour bloquer l'accès des victimes à leurs données en appliquant une balise unique à chaque fichier chiffré. Les fichiers infectés sont renommés avec l'identifiant de la victime, l'adresse e-mail des attaquants et l'extension « .P4R ». Les victimes reçoivent également des demandes de rançon sous forme de fenêtres contextuelles et d'un fichier texte nommé info.txt , déposé dans chaque dossier affecté.
Voici ce que dit la demande de rançon :
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ce que veut PayForRepair
Les rançongiciels comme PayForRepair sont conçus pour rendre les données personnelles et professionnelles inaccessibles en les chiffrant à l'aide d'algorithmes puissants. Une fois chiffrés, les fichiers ne peuvent être ouverts ni utilisés sans une clé de déchiffrement unique, détenue uniquement par l'attaquant. La demande de rançon de PayForRepair invite les victimes à contacter les attaquants par e-mail pour négocier la récupération des données. La fenêtre contextuelle clarifie la situation en précisant que le déchiffrement ne sera possible qu'après paiement en Bitcoins .
Les attaquants offrent un gage de « bonne foi » en permettant à la victime de déchiffrer gratuitement jusqu'à trois fichiers, à condition que ces fichiers répondent à certains critères. Cette tactique est couramment utilisée pour instaurer la confiance et inciter la victime à payer. Cependant, ils mettent également en garde les victimes contre l'utilisation d'outils de récupération tiers, prétextant que cela pourrait corrompre définitivement les fichiers chiffrés – une tactique de peur typique des campagnes de rançongiciels.
Pourquoi les attaques basées sur le Dharma sont difficiles à vaincre
Membre de la famille des rançongiciels Dharma, PayForRepair partage plusieurs caractéristiques avec ses homologues. S'il épargne les fichiers système critiques, permettant ainsi aux victimes de continuer à utiliser leurs appareils, il cible indifféremment les fichiers locaux et partagés sur le réseau. Le rançongiciel optimise son taux de réussite en interrompant les processus liés aux fichiers ouverts, tels que ceux utilisés par les bases de données ou les applications de productivité, garantissant ainsi le verrouillage de ces fichiers.
Pour contrôler les systèmes infectés, les logiciels malveillants basés sur Dharma s'intègrent souvent à des emplacements spécifiques de la machine, comme le répertoire %LOCALAPPDATA% , et se lancent à chaque redémarrage de l'ordinateur. Ils suppriment également les clichés instantanés de volume (une fonctionnalité de sauvegarde intégrée à Windows), empêchant ainsi les victimes de restaurer leur système à un état antérieur.
La dure réalité : payer n'aide pas forcément
Malheureusement, une fois que PayForRepair a verrouillé ses fichiers, les chances de récupération sont minces. Les méthodes de chiffrement utilisées sont généralement robustes et, sans la clé de déchiffrement des attaquants, la récupération est quasiment impossible. Même si les victimes paient la rançon, rien ne garantit que les outils de déchiffrement leur seront effectivement fournis. Dans de nombreux cas, les cybercriminels se contentent d'encaisser le paiement et disparaissent.
C'est pourquoi les experts en cybersécurité déconseillent fortement le paiement d'une rançon. Ce type de paiement finance non seulement des opérations criminelles, mais alimente également la croissance des modèles de rançongiciels en tant que service (RaaS), où des kits de logiciels malveillants sont vendus ou loués à d'autres acteurs malveillants pour des attaques à grande échelle.
Comment PayForRepair se propage
La méthode d'infection la plus courante pour les variantes du rançongiciel Dharma, dont PayForRepair, passe par des services RDP (Remote Desktop Protocol) faibles. Les attaquants utilisent des techniques de force brute pour deviner les mots de passe et accéder à des systèmes dont la sécurité de connexion est faible. Une fois à l'intérieur, ils peuvent facilement déployer un rançongiciel et désactiver les défenses telles que les pare-feu.
Cependant, le RDP n'est pas le seul vecteur. Parmi les autres méthodes courantes, on trouve les e-mails d'hameçonnage, les pièces jointes malveillantes, les fausses mises à jour logicielles et les téléchargements provenant de sources non vérifiées. Souvent, les rançongiciels se font passer pour un document ou un fichier d'installation apparemment inoffensif. Une fois ouvert, il s'installe silencieusement et commence à chiffrer les fichiers.
Dans certains cas, les ransomwares peuvent se propager latéralement sur les réseaux, voire infecter des supports amovibles comme des clés USB. Cela souligne la nécessité de défenses multicouches allant au-delà des simples logiciels antivirus.
Pratiques optimales de prévention et de rétablissement
Étant donné que la suppression d'un rançongiciel comme PayForRepair ne déchiffre pas vos fichiers, la prévention est la meilleure ligne de défense. L'une des étapes les plus importantes consiste à effectuer des sauvegardes régulières hors ligne, stockées dans des emplacements sécurisés et distincts, idéalement dans des environnements physiques et cloud. Ainsi, même en cas d'attaque, vos données pourront être restaurées sans payer de rançon.
Les utilisateurs doivent également être prudents lorsqu'ils naviguent en ligne ou ouvrent des e-mails non sollicités. Les pièces jointes et les liens provenant de sources inconnues doivent toujours être traités avec suspicion. De plus, les organisations doivent désactiver les accès RDP inutilisés, appliquer des politiques de mots de passe robustes et mettre régulièrement à jour leurs logiciels pour corriger les vulnérabilités connues.
Évolution du paysage des ransomwares
PayForRepair rejoint une liste croissante de rançongiciels, notamment Jackalock , DarkMystic et VerdaCrypt . Chacun utilise des méthodes et des cibles légèrement différentes, mais tous partagent un objectif commun : le verrouillage des données et l'extorsion de fonds. Certains exigent quelques centaines de dollars, d'autres des millions, selon la cible.
À mesure que les menaces évoluent, notre compréhension de leur fonctionnement et des moyens de nous en protéger doivent évoluer. Bien que PayForRepair ne soit qu'un nom parmi tant d'autres dans un secteur de ransomwares très concurrentiel, ses méthodes rappellent clairement que la simple navigation ou la consultation de vos e-mails peut entraîner des perturbations importantes, sans la mise en place de mesures de protection adéquates.
