Découverte de PClock2, nouvel imitateur de Cryptolocker, ciblant plus de 2 500 extensions de fichiers

  • avril 9, 2015
  • 3 min read

Un des plus importants rançongiciels ces dernières années, Cryptolocker, a été découvert à la fin de 2013. La rumeur laisse à entendre que les responsables de Cryptolocker ont engrangé quelque 30 millions de dollars les 100 premiers jours suivant son lancement et c’est donc sans surprise que nombreux sont les variantes et les imitateurs qui tentent de capitaliser sur la réputation de Cryptolocker. Plus tôt cette année, nous avons découvert un imitateur de Cryptolocker nommé PCLock, pour lequel nous avons développé un décrypteur afin d’aider les victimes à récupérer leurs fichiers sans payer la rançon. Une nouvelle variante de PCLock, imitant toujours Cryptolocker, vient toutefois de faire son apparition : PClock2.

PClock2 demande 0,5 Bitcoin pour décrypter les fichiers

Comme d’autres types de rançongiciels, l’objectif principal de PClock2 est de crypter des fichiers importants sur le système de la victime afin de l’obliger à payer une rançon en échange de ses fichiers. PClock2 crypte les fichiers en utilisant une clé générée aléatoirement et l’algorithme RC4. Comme la plupart des autres variantes, elle exige également que le paiement se fasse en Bitcoin et fournit à l’utilisateur une fenêtre de temps limitée pour lui payer la rançon. Le logiciel malveillant proclame également faussement que 0,5 Bitcoin (la rançon exigée) équivaut à quasiment 0 USD alors qu’une conversion correcte voit ce montant s’élever à près de 128 USD.

Tout comme son prédécesseur PCLock, cette variante ressemble également fortement à Cryptolocker visuellement :

Windows 7-08-04-2015-01-17-53

Ce logiciel malveillant recommande également aux utilisateurs de désactiver leur programme antivirus afin qu’on ne puisse le supprimer. La fenêtre d’application est clairement destinée à menacer et tromper les utilisateurs.

Comportements et méthodes d’infection de PClock2

PClock2 pénètre généralement dans le système de l’utilisateur via le téléchargement de torrents infectés. Une fois sur l’ordinateur de la victime, PClock2 s’enracine dans le système en utilisant l’entrée de registre suivante :

PClock2 enregistre des informations supplémentaires concernant l’infection, comme l’adresse de paiement Bitcoin, ici :

Ce qui est intéressant, c’est que PClock2 cible 2 583 extensions de fichiers, nettement plus que les versions précédentes de rançongiciels que nous avons rencontrées. Puisque tant d’extensions de fichiers différents sont ciblées, la liste devient trop longue pour les publier dans ce blog. Les serveurs de commande et de contrôle de ce logiciel malveillant sont situés dans ces domaines :

Les fichiers malveillants extraits sont stockés localement aux emplacements suivants :

%APPDATA%WinDskwindsk.exe – Logiciel malveillant exécutable
%APPDATA%WinDskwindskwp.jpg – Fond d’écran généré par le logiciel malveillant
%DESKTOP%CryptoLocker.lnk – Raccourci renvoyant vers le logiciel malveillant exécutable
%USERPROFILE%enc_files.txt – Liste des fichiers cryptés

Après le cryptage de tous les fichiers qu’il peut trouver, le rançongiciel remplace le fond d’écran de l’ordinateur de l’utilisateur par cette image :

Windows 7-08-04-2015-01-18-29

Récupérer ses fichiers sans avoir à payer la rançon

Heureusement, PCLock2 est loin d’être aussi puissant qu’il prétend l’être et aucun de vos fichiers n’a réellement été endommagé. Notre équipe de recherche spécialisée en logiciels malveillants a conçu un décrypteur qui vous permettra de restaurer facilement vos fichiers verrouillés, sans payer de rançon. Vous pouvez télécharger le décrypteur ici.

Le processus de décryptage, comme illustré par ces captures d’écran, est assez simple :

décrypteur1

 décrypteur2

Si vous ne souhaitez pas procéder vous-même au décryptage des fichiers, n’hésitez pas à ouvrir une demande d’assistance sur notre forum dédié ou à nous envoyer un e-mail. Nous vous serions reconnaissants de bien vouloir partager ce billet afin que nous puissions ainsi aider davantage de victimes de PClock2 à récupérer leurs fichiers.

Prévenir vaut toujours mieux que guérir et c’est pourquoi nous recommandons toujours de procéder à des sauvegardes régulières et d’utiliser un programme antivirus réputé afin de vous protéger contre toute infection en premier lieu.

Nous vous souhaitons une excellente journée (sans rançongiciels) !

Rohit Satpathy

What to read next

Reader Comments