Lorsque des pirates malveillants s'ennuient, ils ne s'arrêtent pas tant qu'ils ne trouvent pas de nouvelles façons de faire du mal et de gagner de l'argent sur le dos de leurs victimes. Une nouvelle menace fait peur aux utilisateurs d’Internet. C’est une variante du logiciel de ransomware baptisée «CryPy», qui a été écrite en langage Python. Contrairement aux autres programmes malveillants, il attribue une clé unique à chaque fichier chiffré sur le système de la victime et il est très difficile de le déchiffrer.

Jakub Kroustek, chercheur chez AVG, nous a prévenus de l’existence de CryPy, qui a publié sur son compte Twitter que ce logiciel de ransomware avait été aperçu à l’état sauvage. Il semble que CryPy soit composé de deux fichiers: boot_common.py, utilisé pour la journalisation des erreurs sous Windows et encryptor.py, qui est le casier et contient un certain nombre de fonctions. Il semble qu’il existe un serveur Web en Israël, qui a été compromis en utilisant une vulnérabilité dans une gestion de contenu (Magento) et que des pirates informatiques ont utilisé pour des attaques de phishing.

On croit que derrière ces attaques se trouvent certains développeurs parlant l'hébreu, qui ont pu voler des informations d'identification Paypal, puis les transférer à un serveur distant au Mexique contenant une gestion de contenu différente, mais utilisant la même technique de téléchargement de fichier. Quant à CryPy, une fois qu’il infecte un système, il désactive les fonctionnalités qui arrêtent généralement les logiciels malveillants, telles que les outils de registre, le gestionnaire de tâches, CMD et Exécuter. Après cela, il crypte les fichiers et assigne une clé unique pour chaque fichier crypté. Ensuite, les victimes reçoivent une note de rançon indiquant:

«Tous vos fichiers sont cryptés avec des chiphers puissants. Le décryptage de vos fichiers n’est possible qu’avec le programme de décryptage, qui se trouve sur notre serveur secret. Notez que toutes les 6 heures, un fichier aléatoire est définitivement supprimé. Plus vous êtes rapide, moins vous perdrez de fichiers. De plus, dans 96 heures, la clé sera définitivement supprimée et il n'y aura aucun moyen de récupérer vos fichiers. Pour recevoir votre programme de décryptage, contactez l'un des e-mails suivants: 1. m4n14k @ sigaintorg 2. blackone @ sigaintorg. Il suffit d’informer votre pièce d’identité et nous vous donnerons les instructions suivantes. Votre identifiant personnel:"

On ne sait pas si le ransomware a déjà fait de victimes, mais il est important d'installer un puissant logiciel anti-ransomware pour éviter ces attaques.