Décidément, rien ne semble endiguer le fléau des ransomwares. Ces programmes malveillants sont plus nombreux chaque jour, avec de nouvelles méthodes, et des modes de fonctionnement qui évoluent sans cesse.

Celui-ci se prénomme ManameCrypt, découvert par le G DATA SecurityLabs, il est particulièrement original, et ce pour plusieurs raisons.

Pour commencer, sa méthode de propagation. Contrairement à beaucoup de ses semblables, celui-ci ne se transmet pas par mail, mais par des versions de logiciel de Torrent.

Une fois installé sur la machine, le ransomware crypte vos données, pour demander une rançon d'environ 130€.

La liste des extensions cryptées par ManameCrypt

Le ransomware ne s'arrête pas la. Il bloque l’exécution de certain programme sur la machine, afin de la rendre vraiment inutilisable.

La liste des programmes bloqués par ManameCrypt

Mais rassurer vous, si vous êtes victime de ce ransomware, il est possible de récupérer certaines de vos données ! Prenons le cas d'un fichier.RAR, le mot de passe se décompose de manière suivante:

SHA1Hash (Win32_processor.processorID + VolumeSerialNumber_Volume_C + Win32_BaseBoard.SerialNumber) + nom d’utilisateur.

Le SHA1 est le nom du fichier .RAR. Le nom peut être déterminé comme suit: appuyez sur la touche Windows + R; puis entrez cmd et appuyez sur Entrée. Dans la fenêtre de ligne de commande nouvellement ouverte, entrez echo% username% et appuyez sur Entrée à nouveau. La chaîne affichée est le nom d’utilisateur.

Exemple: Le fichier .RAR créé par Manamecrypt est appelé 123456789DSB et le nom d’utilisateur est 92829. Le mot de passe est donc 123456789DSB92829.

Source: datasecuritybreach, gdatasoftware