Votre PC Windows vient-il d'afficher un message indiquant que la licence de son système d'exploitation a expiré ? Ou une déclaration comme celle-ci : « Votre licence Windows a expiré, veuillez en obtenir une nouvelle en appelant le 1-888-303-5121 du représentant du magasin » ?
Eh bien, cela pourrait être le plus nul de tous les Ransomware qui essaie d'explorer les données de votre disque dur. Pour les non-initiés, Ransomware est un programme malveillant trompeur, qui verrouille l'utilisateur de son système et demande une rançon afin de lui rendre l'accès. La famille Ransomware vient de s'épanouir avec des programmes Ransomware plus récents et plus puissants. Et 2016, a été spécialement désignée comme « l'année du Ransomware ». De temps en temps, nous avons rencontré des ransomwares robustes comme CryptoLocker , Locky, Petya Ransomware et autres.
Jusqu'à présent, ces programmes rusés recherchaient une vulnérabilité puis transmettaient le kit d'exploitation. Mais cette fois, le « Lamest of all Ransomware » a offert une solution de facilité aux chercheurs en sécurité et aux utilisateurs victimes.
Authentification du message d'expiration
Il y a quelques jours, les utilisateurs américains (cible principale) ont vu un message « Expiration de la licence Windows » clignoter sur leurs écrans d'ordinateur. Ceci, pour des raisons évidentes, n'était pas un message authentique de Microsoft. Cependant, les criminels se sont efforcés d'être plus intelligents que jamais. L'écran de message a été conçu pour être visuellement similaire à celui du marketing Windows 10 de Microsoft. Les escrocs avaient même placé l'image du héros Windows 10 en arrière-plan, afin que cette menace puisse être facilement exécutée. C'était peut-être une grande tentative de dérouter les utilisateurs avec l'authentification du message.
En dehors de cela, il avait également les logos des applications Team Viewer et LogMeIn, en haut de l'écran. Les chercheurs l'ont anticipé en tant que kit d'exploit pour le Ransomware. Si tel a été le cas, les cybercriminels pourraient facilement se connecter au PC des victimes et crypter les données. Tout cela a été fait à l'aide des messages que nous avons indiqués ci-dessus. Dès que l'utilisateur appelle à ce numéro gratuit, les cybercriminels s'efforcent de transmettre le programme malveillant.
Comment ce ransomware attaque
Ce distributeur de ransomware est un nom de programme freedownloadmanger.exe. Une fois installé sur l'ordinateur de l'utilisateur, il commence à exécuter lui-même le ransomware. En raison de cette attaque, la victime ne peut plus avoir accès ou contrôler son système.
Aperçu des chercheurs sur le Ransomware
Le message prétendait réactiver le système d'exploitation Windows en appelant le numéro qui y était indiqué. Cependant, lorsque les chercheurs de Symantec ont essayé de découvrir le problème et ont appelé le numéro indiqué, les prétendus représentants ne leur ont pas bien répondu. Leur appel a été mis en attente pendant 90 minutes, entraînant finalement un raccrochage forcé.
Après cela, les chercheurs ont fait un pas en avant et ont essayé de trouver le numéro sur Google. Les résultats les ont encore plus embrouillés. Il a exposé de nombreuses pages suspectes conseillant aux victimes de payer les frais pour reprendre le contrôle de leurs ordinateurs. Selon Symantec, ces résultats de recherche sont empoisonnés et créés uniquement pour tromper les gens en leur faisant croire qu'il n'y a pas d'autre solution pour se débarrasser de l'écran d'activation les obligeant à payer.
Vulnérabilité dans le Lamest Ransomware
Le World Wide Web a appelé ce Ransomware, le pire de tous les Ransomware. En effet, seul Ransomware a été piraté et une clé de décodage a été diffusée parmi tous. Ce code aide certainement les utilisateurs à récupérer l'accès sur leur système.
Les utilisateurs doivent taper « 8716098676542789 » dans le champ de saisie et ils auront à nouveau accès à leurs ordinateurs. Bien que la campagne tordue ait été arrêtée maintenant, elle pourrait encore rechuter et infecter d'autres utilisateurs.