Malwarebytes a publié un outil de décryptage gratuit pour aider les victimes d'une récente attaque de ransomware à récupérer leurs données des cybercriminels en utilisant une technique d'arnaque du support technique. La nouvelle variante du ransomware appelée VindowsLocker a fait surface la semaine dernière. Cela fonctionne en reliant les victimes à de faux techniciens Microsoft pour que leurs fichiers soient chiffrés à l'aide d'une API Pastebin.

Les arnaqueurs de l'assistance technique ciblent les utilisateurs d'Internet sans méfiance depuis un certain temps maintenant. Une combinaison d'ingénierie sociale et de tromperie, la tactique malveillante a évolué des appels impromptus à de fausses alertes et, plus récemment, aux verrous d'écran. Les arnaqueurs du support technique ont maintenant ajouté un ransomware à leur arsenal d’attaques.

Jakub Kroustek, chercheur en sécurité chez AVG, a d'abord détecté le ransomware VindowsLocker et a nommé la menace en fonction de l'extension de fichier.vindows qu'il ajoute à tous les fichiers cryptés. Le ransomware VindowsLocker utilise l'algorithme de chiffrement AES pour verrouiller les fichiers portant les extensions suivantes:

VindowsLocker imite une arnaque de support technique

Le ransomware utilise une tactique typique de la plupart des escroqueries du support technique, qui consiste à demander aux victimes de composer le numéro de téléphone fourni et de parler à un membre du support technique. En revanche, dans le passé, les attaques par ransomware demandaient des paiements et traitaient les clés de déchiffrement à l’aide d’un portail Web sombre.

ce support pas Microsoft Windows

nous avons verrouillé vos fichiers avec le virus Zeus

faites une chose et appelez technicien de support Microsoft de niveau 5 au 1-844-609-3192

vous ferez la queue pour des frais uniques de 349, 99 $

Malwarebytes pense que les fraudeurs sont basés en Inde et imitent le personnel de support technique de Microsoft. VindowsLocker utilise également une page de support Windows apparemment légitime pour donner la fausse impression que le support technique est prêt à aider les victimes. La page de support demande à l'adresse électronique de la victime et à ses identifiants bancaires de traiter le paiement de 349, 99 $ pour déverrouiller un ordinateur. Cependant, payer la rançon n’aide pas les utilisateurs à récupérer leurs fichiers selon Malwarebytes. En effet, les développeurs de VindowsLocker sont désormais incapables de déchiffrer automatiquement un ordinateur infecté en raison de certaines erreurs de codage.

Malwarebytes explique que les codeurs VindowsLocker ransomware ont saboté l’une des clés d’API destinées à être utilisées dans de courtes sessions. Par conséquent, la clé API expire après une courte période et les fichiers cryptés sont mis en ligne, empêchant les développeurs de VindowsLocker de fournir les clés de cryptage AES aux victimes.

Lire aussi:

• Identifiez le ransomware qui a crypté vos données avec cet outil gratuit
• Comment faire pour supprimer le ransomware Locky pour de bon
• Malwarebytes publie un décrypteur gratuit pour le ransomware Telecrypt
• Locky ransomware se répand sur Facebook dissimulé sous un fichier.svg