Vovalex est le premier ransomware écrit en Dlang

Une nouvelle famille de ransomwares appelée Vovalex se répandra via des logiciels piratés déguisés en utilitaires Windows populaires, tels que CCleaner.

Brendan Smith

Expert en Sécurité Informatique

Il vaut mieux prévenir que guérir et se repentir!

Lorsque nous parlons de l'intrusion de programmes inconnus dans le fonctionnement de votre ordinateur, le proverbe "Mieux vaut prévenir que guérir" décrit la situation de la manière la plus précise possible. Gridinsoft Anti-Malware est exactement l'outil qui est toujours utile d'avoir dans votre arsenal : rapide, efficace, à jour. Il est approprié de l'utiliser en tant qu'aide d'urgence au moindre soupçon d'infection.

TÉLÉCHARGER MAINTENANT

Essai de 6 jours de Anti-Malware disponible.
CLUF | Politique de Confidentialité | 10% Off Coupon

Abonnez-vous à notre chaîne Telegram pour être le premier à être informé des nouvelles et de nos contenus exclusifs sur la sécurité de l'information.

Le ransomware Vovalex possède une fonction spéciale qui le distingue des autres logiciels malveillants de cette classe. En termes de fonctionnalité et de principe de fonctionnement, Vovalex n’est pas différent des autres ransomwares: il crypte les fichiers de la victime et lui laisse ensuite une note de rançon. Cependant, le chercheur Vitaly Kremets, qui a découvert un nouveau ransomware, a révélé une fonctionnalité intéressante.

🏷️ D(ou Dlang) est un langage de programmation à usage général avec typage statique, accès au niveau système et syntaxe de type C. Avec le langage de programmation D, écrivez vite, lisez vite et exécutez vite.

Selon l’expert, Vovalex pourrait être le premier ransomware écrit dans le langage de programmation D. Selon la description sur le site officiel, les créateurs de D (ou Dlang) se sont inspirés du C ++. Cependant, D est également connu pour emprunter un certain nombre de composants à d’autres langues. En règle générale, les cybercriminels n’utilisent pas Dlang, mais dans ce cas, comme le suggère Vitaly Kremets, les attaquants tentent très probablement de contourner la détection par les programmes antivirus.

2021-01-29: 🆕🔥#Vovalex #Ransomware … in #Dlang or 'D'|x64 ~32mb Size
Probably First Documented Ransomware Written in 'D'
Dlang Section Headers with "dmd" Compiler
1⃣._deh
2⃣.dp
3⃣.minfo
4⃣.tp
XMR Monero Extortion |🤔D Likely Used to Bypass AV Detection
h/t @malwrhunterteam pic.twitter.com/XBjpsrbMLS
— Vitali Kremez (@VK_Intel) January 29, 2021

L’équipe MalwareHunterTeam a été la première à tomber sur Vovalex eta publié un échantillon du ransomware Vovalex sur VirusTotal. Les gars de BleepingComputer¹ a analysé l’échantillon et est arrivé à la conclusion que le ransomware est distribué comme une copie illégale de l’utilitaire CCleaner pour les systèmes Windows. Pendant le processus de démarrage, Vovalex ouvre une copie légitime du programme d’installation de CCleaner et place sa copie avec un nom de fichier arbitraire dans le répertoire %Temp%.

Faux installateur CCleaner

Après cela, le logiciel malveillant commence à crypter les fichiers sur l’ordinateur de la victime en leur ajoutant l’extension .vovalex. La dernière étape consiste à copier une note avec les exigences sur le bureau – README.VOVALEX.txt. Les attaquants demandent 0,5 XMR (crypto-monnaie Monero) pour un décodeur . En dollars, ce montant est d’environ 69,54 USD .

Voici un résumé du Vovalex:

Nom	Virus Vovalex
Contacts	VovanAndLexus@cock.li
Remarque sur le ransomware	README.VOVALEX.txt
Extension	.vovalex
Détection²	Trojan-Ransom.Vovalex (A), Ransom:Win64/Vovalex.MK!MTB, TrojanRansom.Win64.Vovalex
Symptômes	Vos fichiers (photos, vidéos, documents) ont une extension .vovalex et vous ne pouvez pas l’ouvrir.
Outil de réparation	GridinSoft Anti-Malware Voir si votre système a été affecté par le virus Vovalex