HavanaCrypt : ce ransomware se déguise en mise à jour Google

HavanaCrypt : ce ransomware se déguise en mise à jour Google

Des acteurs malveillants usurpent Google Software Update pour livrer HavanaCrypt, une nouvelle famille de ransomware. En plus d’échapper à la détection, cette menace naissante intègre déjà de nombreuses fonctionnalités. 

Des capacités à détourner la détection

Les ransomwares qui se présentent sous forme d’applications légitimes continuent de pulluler sur la toile. Après Windows 10, Google Chrome et Microsoft Exchange, une nouvelle famille de ransomware baptisée HavanaCrypt usurpe les mises à jour Google.

Selon les chercheurs, la menace qui ne dépose pas encore de note de rançon est encore probablement en phase de développement. Il faut néanmoins la détecter et la bloquer en urgence avant qu’elle n’évolue davantage. La mise à jour est téléchargée automatiquement avec les applications Google comme le navigateur Chrome ou Google Earth pour PC. 

La documentation de HavanaCrypt révèle par ailleurs que le ransomware utilise une adresse IP de service d’hébergement Web Microsoft comme serveur de commande et de contrôle. Cela lui permet de contourner la détection. Les acteurs de la menace utilisent également Obfuscar,  un outil d’obscurcissement open-source.

Les chercheurs ajoutent : « Le Malware possède également plusieurs techniques anti-virtualisation qui l’aident à éviter l’analyse dynamique lorsqu’il s’exécute sur une machine virtuelle ».  Ils ajoutent : « Si le ransomware détecte que le système s’exécute dans un environnement VM en cours d’exécution, il s’arrête automatiquement ».

Aperçu du système de cryptage

HavanaCrypt se copie dans les dossiers ProgramData et Startup sous forme de noms de fichiers aléatoires avec des attributs définis sur « Caché ». La routine de chiffrement utilise un générateur de clé aléatoire apparemment tiré du référentiel open source de KeePass Password Safe.

Le ransomware crypte les fichiers en ajoutant une extension .Havana. Les chercheurs soulignent que HavanaCrypt évite de crypter les fichiers avec certaines extensions, dont ceux qui ont déjà une extension malveillante.

Il est tout à fait possible que l’auteur du rançongiciel envisage de communiquer via le navigateur Tor. Les fichiers Tor font en effet partie de ceux épargnés par le cryptage selon les chercheurs. 

Protégez-vous des ransomawares. Installez un logiciel de protection performant choisi parmi notre top des meilleurs antivirus

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest