Le Ransomware Sodinokibi fait des dégâts

Avec la mort du ransomware Gandcrab, de nouveaux acteurs émergent et tentent de se faire une place.
A ce jeu le ransomware Sodinokibi semble tirer son épingle du jeu.
Ce dernier peut aussi porter le nom de ransomware REvil ou Sodin.

Cet article regroupe les informations autour de ce rançongiciel.
Comme les choses évoluent vite, ce dernier sera mis à jour en conséquence.
Ainsi si un outil pour décrypter les fichiers sort, vous en serez informé.

Le Ransomware Sodinokibi

Un ransomware classique

Pour rappel, une fois l’ordinateur touché, le rançongiciel attaque les données.
Il chiffre (crypte) les documents afin de les rendre inopérant.
Un fichier note indique qu’il faut payer une rançon pour récupérer l’accès.
Il s’agit d’acheter une clé de déchiffrement.
Celle-ci se vend plusieurs centaines d’euros.
Le malware s’appuie sur les mécanisme de chiffrement.
Vous trouverez plus d’informations sur cet article : Le chiffrement (cryptage) des données

Your computer has been infected - Ransomware Sodinokibi
La note de rançon de Sodinokibi

A l’heure actuelle, il redirige vers le site decryptor.top.

Comme souvent, sur les forums, des victimes viennent demander de l’aide.
Ci-dessous une victime de Sodinokibi qui explique des milliers de fichiers sont chiffrés et inaccessibles.

Une victime du rançongiciel Sodinokibi

Des chercheurs ont trouvé des similitudes entre GrandCrab et Sodinokibi.
Cela peut faire penser qu’il s’agit de la même équipe derrière.
Plus d’informations : Is ‘REvil’ the New GandCrab Ransomware?

Plusieurs acteurs

Il semble que les attaques vont tout azimuts comme souvent, car plusieurs affiliés entre en jeu.
Pour bien comprendre, vous pouvez lire notre fiche du ransomware Gandcrab.
En effet, le mécanisme reste identique.

A savoir un groupe propose en location un kit et d’autres groupes peuvent diffuser ce dernier.
Ces dernier touchent un pourcentage sur les installations ou lors de l’achat de la clé pour décrypter les fichiers.
On peut imaginer que les groupes actifs pour Gandcrab passent maintenant chez Sodinokibi après la mort de ce premier.

Le site BleepingComputer a recensé les attaques récentes.
Parmi les vecteurs, on trouve :

Piratage de sites

Ainsi on peut constater plusieurs types d’attaques même si cela reste aussi classique.
Par exemple des piratages de sites WEB afin de rediriger vers le ransomware.
Le site Winrar en Italie en a été victime.
Autour du 19/06/2019 des attaques plus massives ont aussi lieu grâce à une vulnérabilité récente sur Terminal Server.
Cela permet de pirater des serveurs en Windows.

Email malveillant

Tout aussi classique, des campagnes de mails malveillants.
Ces spams se font passer par des entités connus.
Par exemple ci-dessous, un faux mail booking.com

Dans ce mail, se trouve une pièce jointe au format Office.
Celle-ci va installer Sodinokibi sur le PC de la victime, si celle-ci l’exécute.

Spam qui pousse le ransomware Sodinokibi

La page suivante explique ces mécanismes de document Word ou Excel piégé : Les virus par Word et Excel (documents Office) : comment s’en protéger

J’ai été victime de Sodinokibi

Le ransomware n’est pas résident.
C’est à dire qu’il va chiffrer les documents et se fermer.
Ainsi l’ordinateur n’est plus infecté.

Pour le moment, aucun outil de décryptage existe.
Voici donc les recommandations à suivre :

  • Replacez vos sauvegardes si vous en avez. Si ce n’est pas cas, à l’avenir, pensez à en mettre en place : sauvegarde Windows.
  • Gardez les fichiers chiffrés pour une solution à l’avenir. Soyez patient, parfois il faut attendre plusieurs mois.
  • Changez vos mots de passe WEB. Le malware peut aussi voler les identifiants.

Vous pouvez aussi analyser votre ordinateur avec MBAM : Malwarebytes Anti-Malware (MBAM)

A l’heure actuelle, aucun outil pour décrypter les fichiers existent.
L’article sera mis à jour lorsqu’un outil sortira.

Par la suite, vous pouvez sécuriser votre PC en suivant nos indications : Sécuriser son ordinateur et connaître les menaces

image_pdfimage_print
(Visité 1 862 fois, 17 visites ce jour)