Le virus de l’été.

virusBetabot était un cheval de Troie « classique » destiné à subtiliser les informations des victimes jusqu’à ce que les développeurs derrière le logiciel malveillant ne décident de lui ajouter une fonctionnalité supplémentaire : la capacité d’infecter les ordinateurs compromis du ransomware Cerber.
Beta Bot est apparu au cours du premier semestre 2013, mais a resurgi parmi les dernières menaces de programmes malveillants. Ce cheval de Troie infecte les ordinateurs et tente d’empêcher les utilisateurs d’accéder aux sites Web de sécurité, tout en désactivant leurs logiciels de scans antivirus et anti-programmes malveillants. Pour y parvenir, il crée un message factice Windows intitulée « Contrôle de compte d’utilisateur ». Il invite l’utilisateur à autoriser le « Processeur de commandes Windows » à effectuer des modifications de niveau administrateur et prétend que ce contenu est vérifié par Microsoft. En cas d’approbation par l’utilisateur, BetaBot modifie l’ordinateur de l’utilisateur dans le but de voler des identifiants de connexion et des données financières, tout en désactivant l’accès aux logiciels de sécurité.
Beta Bot peut infecter un ordinateur de différentes manières. La plus répandue s’appuie sur l’utilisation de liens factices de la part de services comme Skype ou d’e-mails demandant aux utilisateurs de télécharger un « lecteur vidéo » ou tout autre logiciel d’apparence anodine. En réalité, les utilisateurs sont infectés par le cheval de Troie Beta Bot. Les clés USB sont également utilisées pour propager le programme.
Outre la zone de message de contrôle de compte d’utilisateur (UAC) décrite plus haut, le cheval de Troie émet un avertissement factice « Erreur critique de disque » pour faire peur aux utilisateurs et les pousser à accepter sa requête. Même les utilisateurs les plus prudents sont alors tentés d’approuver cette fausse requête UAC.
La suppression de Beta Bot peut s’avérer difficile étant donné que les scans anti-programmes malveillants locaux sont désactivés et que l’accès aux sites Web de sécurité est bloqué. Il est alors recommandé de télécharger une solution antivirus complète ou des mises à jour antivirus sur un ordinateur sain, puis de transférer les fichiers requis sur une clé USB. Il est ensuite conseillé aux utilisateurs d’exécuter le logiciel antivirus sur leur ordinateur infecté, puis de reformater la clé USB pour empêcher toute infection accidentelle.
virusVers la fin du mois de juillet 2016, les concepteurs ont changé leur méthodologie d’attaque et s’orientent maintenant vers des campagnes de spam avec des pièces jointes contenant un document Word. Sans entrer dans le détail, le document contient des macros, c’est à dire des commandes automatiques. Si l’utilisateur active ces macros, le virus se diffuse donc dans la machine. Les pièces jointes peuvent être souvent des documents assez neutres comme des CV. A la lecture de ce document, Word vous demande si vous voulez activer les macros CE QUE VOUS NE DEVEZ JAMAIS FAIRE ! Une fois que les macros sont activées, le logiciel malveillant va s’assurer qu’il se trouve sur un PC standard et va par la suite subtiliser tous les mots de passe sauvegardés en local sur tous les navigateurs. Une fois que les mots de passe sont volés, le programme Betabot n’est plus d’aucune utilité pour infecter votre machine, il télécharge donc et exécute le ransomware « Cerber ». Cerber est paramétré pour s’exécuter au prochain redémarrage de la machine.
Les personnes infectées par le ransomware Cerber sont donc invitées à payer certaine somme pour obtenir la clé de déchiffrement qui va leur permettre de récupérer leurs fichiers. La vente de mots de passe pouvait rapporter 185 dollars aux pirates, mais en associant Cerber à Betabot, ils veulent s’assurer de se faire une marge de profits plus importante de l’ordre de  plus de 500 dollar.
Il ne fait aucun doute que le logiciel-rançon Cerber est l’un des virus informatiques les plus dangereux aujourd’hui. Les experts en informatique travaillent encore pour créer un outil de décryptage qui pourra aider les victimes de Cerber à décrypter leurs fichiers, mais à ce jour il n’existe pas encore de façon de décrypter ces fichiers encodés sans payer de rançon. Il ne vous reste donc qu’à supprimer le virus Cerber de votre machine aussi tôt que possible en utilisant un outil de suppression des logiciels malveillants. Attention de choisir le bon outil et de ne pas vous laissez entraîner, dans les forums, vers d’autres programmes plus toxiques que salvateurs.
Tags: betabot, cerber

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *