Ransom32 (Crypto-Ransomware)

[Malekal_morte]

Ransom32 est un rançongiciel chiffreurs de fichiers ou Crypto-Ransomware qui infecte les systèmes d'exploitation Windows et qui chiffre des fichiers.

Ce ransomware est actuellement nouveau et pas encore actif en France.

Ransom32 s'attaque à ces extensions avec un chiffrage munie d'une clef AES 128 :

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

Ransom32 est assez peu commun dans le sens où il est écrit en JavaScript, un langage du "web". Leurs auteurs développent des rançongiciels capables de fonctionner en "cross-platform", indépendamment du système d'exploitation ( Windows, Linux, OSX,.. ) et tentent peut-être de préparer le terrain aux vers informatiques.
C'est donc un Ransomware JavaScript.

Il parvient à s'attaquer au système grâce au framework "NW.js" (node-webkit)

Ransom32 est composé des fichiers suivants :

• "chrome.exe" fait partie du package "NW.js" est la partie active du ransomware,
• "ffmpegsumo.dll", "fnw.pak", "icudtl.dat" and "locales" contient des librairies de "NW.js",
• "rundll32.exe" est une copie du client TOR,
• "s.exe" est une copie d'Optimum X Shortcut qui permet de manipuler le menu "Démarrer",
• "g" contient la configuration nécessaire à son fonctionnement,
• "msgbox.vbs" affiche un message sous forme de popup,
• "u.vbs" est un script capable d'énumérer et supprimer des fichiers.

La page de blocage de Ransom32 :



Je reviendrai compléter ce sujet quand Ransom32 débarquera en France.

Sécuriser son Windows : Comment éviter les ransomwares

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.