Les chercheurs de Fortinet ont découvert un ransomware n’acceptant que Monero – une crypto-monnaie open source créée en 2014 – comme moyen de paiement, démontrant un éloignement du Bitcoin habituellement utilisé et accepté par les créateurs de ransomwares. Ces derniers sont conscients des tendances actuelles, et semblent tirer parti de toute la publicité faite autour des crypto-monnaies.
Ce dernier ransomware ne se contente pas de demander un paiement via Monero, il prétend également être un outil de stockage de mots de passe dédié aux crypto-monnaies. Il se fait passer pour un porte-monnaie et demande à l’utilisateur de créer son mot de passe. Cependant, il ne télécharge pas vraiment la blockchain, à la place il chiffre secrètement les fichiers et données de la victime. Le fichier malveillant affiche le message classique – “Vos fichiers sont chiffrés” – et demande une rançon de 0.3 Monero.
Durant l’analyse effectuée par les chercheurs de Fortinet, ces derniers ont observé des indicateurs selon lesquels les échantillons disposent d’un moteur SQLite intégré. Cela laisse à penser que le ransomware utilise SQLite pour stocker les informations récoltées. Le ransomware va d’abord se pencher sur les informations disponibles sur Chrome, et s’il ne trouve rien il va se tourner vers Firefox. Ensuite, il va chercher des fichiers à chiffrer, qui auront l’extension .encrypted une fois chiffrés (exemple : CV.doc.encrypted).
Pour remuer le couteau dans la plaie, durant la phase de déchiffrage, un autre malware est déployé avec plusieurs capacités telles que la collecte de certificats, l’analyse d’image ou encore l’activation de la webcam.