Le ransomware SynAck refait surface

Les chercheurs de Kaspersky Lab ont découvert en avril 2018 une nouvelle variante du ransomware SynAck. Cette variante du malware reprend la technique du Doppelgänging ayant été présentée lors de la conférence Blackhat de décembre 2017, ce qui lui permet d’échapper aux anti-virus en se cachant dans des processus légitimes.

Le ransomware Synack est connu depuis septembre 2017 et se propage en exploitant le service RDP par force brute. La nouvelle variante du ransomware reprend des techniques d’attaque avancées afin de contourner les solutions de détection antivirales, notamment par l’obfuscation de code avant la compilation et l’arrêt d’exécution en cas de lancement depuis un répertoire inconnu. Ceci permettrait de contourner les éventuelles analyses de type sandboxing.

A ce jour, les chercheurs de Kaspersky Lab ont observé plusieurs infections aux Etats-Unis, au Koweït, en Allemagne et en Iran, avec des demandes de rançon s’élevant à 3 000 dollars USD.

Kaspersky Lab a également publie des mises à jour permettant une protection contre le ransomware : Trojan-Ransom.Win32.Agent.abwa, Trojan-Ransom.Win32.Agent.abwb et PDM:Trojan.Win32.Generic.