Le cryptovirus CryptON se propage par le service de bureau à distance

Une campagne d'infection du cryptovirus CryptON (variante du cryptovirus Nemesis) est en cours. Les pirates ciblent des ordinateurs ayant des services Bureau à distance accessibles par Internet. Une fois que les attaquants ont accédé à l'ordinateur, ils exécutent manuellement le cryptovirus et chiffrent les fichiers.

Vecteur d'infection :

CryptON se propage par diverses méthodes :

  • Méthode 1 : Les attaquants propagent un programme malveillant sur les réseaux sociaux et les sites de partage de fichiers qui télécharge la charge utile pour infecter des ordinateurs.
  • Méthode 2 : Lors de la dernière campagne, les attaquants ont utilisé le service de bureau à distance depuis Internet pour infecter la machine cible puis exécuter manuellement le cryptovirus.

Vecteur d'attaque :

Une fois installée, CryptON tente de supprimer les copies des fichiers crées par Windows Volume Shadow Service. Il chiffre ensuite les fichiers de la victime et ajoute l'extension ".ransomed@india.com" au nom du fichier chiffré. Dans chaque dossier où des fichiers ont été chiffrés, une note nommée  "HOWTODECRYPTFILES.html" est également créée.

Cette note explique à l'utilisateur que ces fichiers sont chiffrés et que s'il veut les déchiffrer, il doit payer de 100 à 1000$ en Bitcoin. Les pirates fournissent des informations pour les contacter et un tutoriel pour utiliser TOR.

Recommandations :

A ce jour, il n'y a aucun moyen de déchiffrer gratuitement les fichiers chiffrés par la variante CryptON. Le seul moyen de récupérer les fichiers chiffrés est de  restaurer une sauvegarde faite auparavant.

Comme CryptON peut être installé via le service Bureau à Distance, il faut s'assurer que le service est correctement configuré et n'est pas accessible depuis Internet.

Pour plus de recommandations, vous pouvez vous référer à notre fiche réflexe cryptovirus.