Ce ransomware détourne l'outil de recherche Windows Everything

Ransomware
(Crédit photo: Pixabay)

La société de cybersécurité Trend Micro a révélé les détails d'un nouveau type de ransomware qui cible l'outil de recherche "Everything" de Windows pour attaquer les utilisateurs anglophones et russophones de Windows.

Le malware a été observé pour la première fois en juin 2022, et a "supprimé les clichés instantanés, mis fin à plusieurs applications et services, et abusé des fonctions de Everything32.dll pour fouiller les fichiers cibles à crypter".

Les chercheurs ont également découvert qu'une partie du code est partagée avec le célèbre ransomware Conti, qui a fait l'objet d'une fuite au début de l'année 2022 après une série d'attaques très médiatisées.

<a href="https://project.tolunastart.com/tqsruntime/main?surveyData=Q0+ZHk1v+seerVJPB3MBeiu8DEMDIBDHisYB81cDeXB+Tl4/OZ5giQDtZEDgULgE" data-link-merchant="project.tolunastart.com"">TechRadar Pro a besoin de vous !
Nous voulons construire un meilleur site web pour nos lecteurs, et nous avons besoin de votre aide ! Vous pouvez apporter votre contribution en répondant à <a href="https://project.tolunastart.com/tqsruntime/main?surveyData=Q0+ZHk1v+seerVJPB3MBeiu8DEMDIBDHisYB81cDeXB+Tl4/OZ5giQDtZEDgULgE" data-link-merchant="project.tolunastart.com"" data-link-merchant="project.tolunastart.com"" target="_blank">notre enquête et en nous faisant part de vos opinions et de votre point de vue sur le secteur des technologies en 2023. Cela ne vous prendra que quelques minutes et toutes vos réponses seront anonymes et confidentielles. Merci encore de nous aider à rendre TechRadar Pro encore meilleur.

D. Athow, Rédacteur en chef

Une imitation de Windows Everything

Trend Micro a donné le nom de "Mimic" au ransomware qui, selon lui, est basé sur une chaîne de caractères trouvée dans ses binaires.

Il note comment Mimic arrive sur l'ordinateur d'un utilisateur affecté sous la forme d'un exécutable (bien qu'il ne soit pas confirmé si cela se fait par e-mail, par téléchargement, ou un autre biais), qui "dépose plusieurs fichiers binaires et une archive protégée par mot de passe, déguisée en Everything64.dll". 

Les résultats révèlent que l'attaque se décompose en grande partie de fichiers légitimes, mais qu'un fichier contient les scripts malveillants.

Selon Trend Micro, la combinaison de plusieurs threads en cours d'exécution et la façon dont il abuse des API de Everything lui permettent de s'exécuter avec une utilisation minimale des ressources, ce qui se traduit par une exécution et une attaque plus efficaces.

La solution ? Comme toujours, l'entreprise estime qu'une approche à plusieurs niveaux fournira la meilleure sécurité, en appliquant notamment des mesures de protection, de sauvegarde et de récupération des données, en effectuant des évaluations régulières de la vulnérabilité et en installant des correctifs aux systèmes dès que des mises à jour de sécurité sont disponibles.

Il existe également toute une gamme de logiciels conçus pour prévenir et traiter les attaques contre les ordinateurs personnels et professionnels, ce qui constitue un niveau de protection supplémentaire.

Craig Hale

With several years’ experience freelancing in tech and automotive circles, Craig’s specific interests lie in technology that is designed to better our lives, including AI and ML, productivity aids, and smart fitness. He is also passionate about cars and the decarbonisation of personal transportation. As an avid bargain-hunter, you can be sure that any deal Craig finds is top value!