Cheval de Troie "Pgpcoder" et tentative de chantage par Internet ("Cyber-racket")
Date : 16 Juin 2005
Un nouveau type d’attaque (ou plutôt une ré-utilisation d’un ancien concept) a vu le jour ce mois-ci sur Internet dans laquelle des pirates viennent chiffrer les fichiers sur le poste d’une victime, et lui proposent de payer une rançon s’il souhaite obtenir l’outil de déchiffrement. Ce "cyber-racket" a pris la forme du cheval de Troie "Pgpcoder" (avis CERT-IST/AV-2005.189), qui s’installe sur le poste de l’internaute lorsque celui-ci visite un site web malicieux exploitant une vulnérabilité d’Internet Explorer (avis CERT-IST/AV-2004.214).
Le chiffrement des données par un virus n'est pas nouveau en lui-même. En 1994, le virus "OneHalf" (http://vil.nai.com/vil/content/v_98226.htm) proposait un comportement similaire. Il est à noter cette fois-ci que la malveillance a des fins financières.
Jusqu’à présent, l’ampleur de ce phénomène demeure limitée et il semble que le mécanisme de chiffrement utilisé ne soit pas très sophistiqué. Par ailleurs, les pirates souhaitant obtenir une rançon sont obligés de laisser des traces permettant l’investigation.
Les sites impliqués dans ces attaques ont été fermés, mais il est recommandé de mettre à jour les systèmes (mises à jour des solutions anti-virales et application des correctifs de sécurité Microsoft) pour se protéger contre ce type d’attaque.
Pour plus d’information :
- Article de "Silicon" : http://www.silicon.fr/getarticle.asp?ID=9975
- Article de "ZDNet" : http://news.zdnet.com/2100-1009_22-5718678.html
- Article de "PCInpact" : http://www.pcinpact.com/actu/news/Un_cheval_de_Troie_maitre_chanteur.htm
- Article de "WebSense Security Labs": http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=194