×
Simplyc'IT - Accueil
  • MENU ☰

Windows 10 : un ransomware change le mot de passe de la session avant de chiffrer les fichiers

11 avril 2021

Un ransomware nommé REvil est désormais capable d'utiliser le mode sans échec de Windows 10 pour modifier le mot de passe du compte. Grâce à cela, il accède plus facilement aux fichiers de la victime pour les crypter.

En mars dernier, des chercheurs en cybersécurité ont découvert qu'un ransomware nommé REvil redémarre le PC de sa victime en mode sans échec pour crypter ses fichiers personnels. Une fois le processus terminé, il exige une rançon de l'utilisateur pour récupérer les données.

Jusqu'à maintenant, l'opération nécessitait que l'utilisateur procède lui-même au redémarrage de la machine pour que le cryptage se fasse. Les choses ont désormais changé. Le malware s'est doté de nouvelles fonctionnalités plutôt inquiétantes.
Tout d'abord, REvil modifie le mot de passe de la session sans que la victime ne s'en rende compte. Ensuite, il configure Windows 10 pour que le système d'exploitation redémarre lui-même en mode sans échec. Une fois le redémarrage effectué, le cryptage des données est automatiquement lancé.

Le ransomware évolue pour devenir plus dangereux

Une fois installé, REvil change le mot de passe par "DTrump4ever". Ensuite, il configure le registre correspondant pour que Windows 10 reconnaisse ce dernier comme un véritable identifiant. Il y a de fortes chances que cette manipulation passe inaperçue aux yeux des antivirus et autres programmes de surveillance. De plus, le malware désactive toutes les applications de récupération ainsi que les serveurs Cloud.

Une fois le cryptage effectué, le hacker demande une rançon à la victime. Si celle-ci ne paie pas la rançon demandée, elle s'expose à un risque d'attaque DDos sur son adresse mail. Malheureusement, même en cas de paiement, elle n'a aucune certitude de remettre un jour la main sur ses données.

 

Image de titre tirée du site : Pixabay

Les commentaires sont clos