WannaCry veut cibler les smartphones sous Android

Nikolaos Chrysaidos 19 juin 2017

Les cybercriminels utilisent une version copiée du ransomware WannaCry afin de cibler les utilisateurs de smartphone sous Android en Chine.

Avast détecte maintenant les ransomwares sur mobile, et que nous appellerons «WannaLocker» à partir de maintenant. Le ransomware cible en l'occurence les utilisateurs de Chine sous Android.

Le message qui s'affiche à l'écran lors de votre rencontre avec WannaLocker peut vous paraître familier car il ressemble étrangement à celui de WannaCry, le ransomware qui s'est répandu comme un incendie dans le monde lors du moi de mai dernier.

Un autre aspect intéressant à noter est que WannaLocker crypte les fichiers sur le stockage externe du périphérique infecté, quelque chose que nous n'avons pas vu depuis Simplocker en 2014 .

ransom_message.jpg

Le ransomware imite le message de WannaCry qui s'affiche à l'écran.

Le ransomware mobile s'est répandu sur les forums de jeux chinois, imitant un plugin du populaire jeu chinois King of Glory (王者 荣耀) ; les victimes sont touchées lors du téléchargement.

5.png

Il commence par cacher son icône à partir du tiroir de l'application et en changeant le fond d'écran principal en une image animée. Ensuite, il commence à crypter les fichiers stockés sur le stockage externe de l'appareil.

4.jpg

Le ransomware exige alors une rançon de 40 Renminbi chinois, ce qui équivaut à environ 5 à 6 dollars américains. Ce n'est pas beaucoup comparé à ce que les autres ransomwares ont exigé par le passé.

Le fait que la rançon soit exigée en monnaie régulière et non en crypto-monnaie me fait penser que les gens derrière cela essaient de gagner de l'argent rapidement. Ceci est cependant risqué car l'argent peut être facilement tracé, contrairement à l'envoi de monnaie viruelle.

Le code ci-dessous montre que les fichiers sont cryptés à l'aide du cryptage AES. Il ne crypte que les fichiers dont les noms ne commencent pas avec un "." Et ne crypte pas les fichiers incluant "DCIM", "download",  "miad", ”android" et "com." dans le chemin d'accès ou bien les fichiers qui sont plus petits que 10 Ko.

3.png

La rançon peut être payée à l'aide des méthodes chinoises de paiement QQ, Alipay et WeChat, que l'on peut voir à partir du code ci-dessous.

2017-06-07 14_23_01-JEB - D__Samples_Android-Crypto-Ransomware_1608f87361efc894572cc4a9e45321def3c75.pngbar codes.png

Les victimes peuvent analyser les codes QR pour payer la rançon.

Le ransomware ajoute l'extension en surbrillance aux fichiers cryptés :

extensions.png

Pour protéger votre téléphone ainsi que vos précieuses photos, vidéos et contacts, assurez-vous de sauvegarder fréquemment vos données et d'installer un antivirus sur tous vos appareils.

Le ransomware a été signalé pour la première fois par la société de sécurité chinoise , Qihoo 360.

Hashes :
36f40d5a11d886a2280c57859cd5f22de2d78c87dcdb52ea601089745eeee494
200d8f98c326fc65f3a11dc5ff1951051c12991cc0996273eeb9b71b27bc294d

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.

--> -->