Vers le mois de juillet de cette année, le ransomware HavanaCrypt est apparu dans le cybermonde. Il a mené des attaques avec une tournure intéressante. HavanaCrypt se fait passer pour une mise à jour du logiciel de Google pour chiffrer les machines virtuelles.
Le ransomware est écrit en langage .NET et utilise un obfuscateur OpenSource appelé Obfuscate pour masquer les noms des fonctionnalités utilisées dans le ransomware.
Le groupe à l’origine du ransomware a réussi à mettre en œuvre des mécanismes d’anti-analyse, ce qui lui permet de se rendre pratiquement invisible aux yeux des utilisateurs et des programmes de sécurité.
Le point exact d’introduction dans le système de la victime n’est pas encore connu. Selon les chercheurs, il est possible qu’il s’agisse de campagnes de courrier électronique ou du téléchargement involontaire d’un logiciel porteur du malware.
Ce qui est clair, c’est que les informations contenues dans l’exécutable malveillant ont été modifiées pour suggérer que l’auteur est Google et que le nom du programme est Google Software Update.
Nous savons que les créateurs de HavanaCrypt ont fait tout leur possible pour que les analyses de sécurité statiques et automatiques ne détectent pas le malware. Ils utilisent des contrôles de sécurité, avant d’exécuter le cryptage.
Si la vérification est négative, le malware n’est pas exécuté. S’il est positif, un fichier .txt est téléchargé par le ransomware depuis une adresse IP connectée aux services d’hébergement Web de Microsoft. Ce fichier est un script qui ajoute certains dossiers à la liste d’exclusion de Windows Defender.
Le ransomware collecte ensuite des informations sur la machine infectée, puis exfiltre les données infectées qui sont ensuite envoyées à un serveur de commande et de contrôle (C2), qui attribue un jeton d’identification unique et génère des clés de chiffrement uniques.
Le virus recherche dans le système tous les fichiers, dossiers, lecteurs et disques et ajoute l’extension .Havana à tous les fichiers cryptés. Les fichiers deviennent alors inaccessibles à l’utilisateur.
Contrairement aux autres ransomwares, HavanaCrypt ne génère pas de demande de rançon. Ce qui nous amène à penser que le ransomware HavanaCrypt utilise un autre moyen pour générer ses gains.
Récupérer les fichiers cryptés par HavanaCrypt ransomware
Aujourd’hui, vous pouvez compter sur des entreprises qualifiées pour la récupération des données cryptées. Parmi eux, Digital Recovery.
Présent sur le marché de la récupération des données depuis plus de 23 ans, Digital Recovery a acquis une expérience et généré des solutions sans précédent pour de nombreuses entreprises.
Face au nombre croissant d’attaques de ransomware dans le monde, notre équipe de développement a étudié, analysé de près et mis au point une solution qui permet de récupérer les fichiers cryptés par un ransomware sur n’importe quel périphérique de stockage.
Cette solution, appelée Tracer, a été créée sur la base de la sécurité des données de nos clients. Un accord de confidentialité (NDA) est mis en place pour chacun de nos projets.
Nous sommes en mesure d’opérer à distance dans n’importe quel pays du monde. Après un diagnostic avancé, nous pouvons déterminer les possibilités de guérison.
Prenez contact avec nous ! Notre équipe multilingue est disponible 24 heures sur 24 et 7 jours sur 7 et est là pour vous servir de la meilleure façon possible.
