ZCryptor : un nouveau ransomware qui sévit sur Windows

Par:
fredericmazue

jeu, 02/06/2016 - 15:27

Microsoft avertit de l'existence d'un nouveau ransomware qui sévit sur les systèmes Windows 7, 8.x et 10.

La bestiole s'appelle Ransom:Win32/ZCryptor.A et ZCryptor pour les intimes. Elle se propage essentiellement par des mails de spam, mais aussi par de faux programmes d'installation Flash et des macro Microsoft Office.

Il est possible que voir qu'une machine est infectée en examinant la base de registre. il y aura une clé ressemblant à ceci :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

zcrypt = {fichier de l'exécutable du ransomware} 

Cette clé est là pour assurer de ZCryptor démarre avec votre système :-)

La bestiole pond aussi un fichier sur les périphériques amovibles :

%User Startup%\zcrypt.lnk

ou se copie elle-même en tant que {Drive}:\system.exe and %APPDATA%\zcrypt.exe  puis change les attributs de fichiers afin de se dérober aux regards peu avertis. Par exemple vous pouvez le trouver dans

c:\users\administrator\appdata\roaming\zcrypt.exe

Une fois confortablement installé, le ransomware crypte les fichiers dont les extensions sont les plus courantes, environ une centaine, pour les remplacer par .zcrypt.  

Une rançon est alors demandée au propriétaire de la machine infectée, s'il veut récupérer ses données. 500 dollars à payer sous 4 jours.

Maintenez votre protection anti-virus à jour et n'ouvrez pas à la légère les fichiers attachés aux mails que vous recevez. Le business du ransomware est en pleine expansion, en ce moment.