Lors de la dernière mise à jour de Windows 10, des pirates ont découvert une faille qu’ils utilisent pour piéger les utilisateurs avec de faux e-mails.
Microsoft sort régulièrement des mises à jour pour son système d’exploitation Windows 10. Cependant, lors de la dernière publication d’update, un nouveau virus profite d’une faille pour se propager sous la forme d’un e-mail. Cette nouvelle menace tente de duper les utilisateurs, afin de prendre en otage leur ordinateur tout en leur réclamant une rançon.
L’e-mail n’est actuellement disponible qu’en anglais et prétend provenir de Microsoft. Deux e-mails différents circulent, l’un avec l’objet “Install Latest Microsoft Windows Update now!” et l’autre “Critical Microsoft Windows Update”. Tous les deux contiennent uniquement une seule phrase, commençant par deux majuscules, dans le corps du message. Il incite l’utilisateur à installer la mise à jour incluse en pièce jointe.
Présentation de l’e-mail en question
Cette fameuse pièce jointe apparaît aux yeux de l’utilisateur comme un simple fichier avec l’extension “.jpg”. En réalité, c’est un exécutable de type ransomware appelé Cyborg. Son nom de fichier est totalement aléatoire et sa taille est d’environ 25KB.
Si l’on observe le contenu de cette pièce jointe, on peut comprendre le fonctionnement de l’exécutable. En lançant ce fichier, l’utilisateur télécharge un autre fichier exécutable à partir de Github, une plateforme de développement logiciel. Le fichier téléchargé se nomme “bitcoingenerator.exe”. Son but est de crypter tous les fichiers présents sur l’ordinateur de l’utilisateur avec l’extension “.777”.
Contenu de la pièce jointe
Une fois le cryptage terminé, l’utilisateur peut retrouver une note de rançon sur son bureau. Ce fichier contient toutes les instructions à suivre pour pouvoir récupérer les fichiers infestés. La victime devra notamment verser 500 dollars en bitcoin au portefeuille indiquer et contacter l’auteur par e-mail.
Note de rançon
Les chercheurs ont réussi à trouver d’autres versions du virus ainsi que les outils nécessaires pour en créer des nouveaux. Tous ces éléments proviennent de Russie. Le problème est que ce ransomware peut être créé et diffusé par n’importe qui.
Pour éviter ce genre de situation, il est important de savoir que Microsoft n’envoie JAMAIS de mises à jour par e-mail. Il faut toujours télécharger ces updates à l’aide de l'utilitaire Windows Update. De plus, lorsqu’un e-mail vous semble bizarre (émetteur du message, objet, pièce jointe inconnus ou suspect), il est fortement conseillé de ne pas ouvrir le message en question et de directement le supprimer.
Images tirées des sites : www.wikimedia.org et www.trustwave.com