Vovalex est le premier ransomware écrit en Dlang

Une nouvelle famille de ransomwares appelée Vovalex se répandra via des logiciels piratés déguisés en utilitaires Windows populaires, tels que CCleaner.

Brendan Smith

IT Security Expert

It is better to prevent, than repair and repent!

When we talk about the intrusion of unfamiliar programs into your computer’s work, the proverb “Forewarned is forearmed” describes the situation as accurately as possible. Gridinsoft Anti-Malware is exactly the tool that is always useful to have in your armory: fast, efficient, up-to-date. It is appropriate to use it as an emergency help at the slightest suspicion of infection.

DOWNLOAD NOW

Gridinsoft Anti-Malware 6-day trial available.
EULA | Privacy Policy | Gridinsoft

Subscribe to our Telegram channel to be the first to know about news and our exclusive materials on information security.

Le ransomware Vovalex possède une fonction spéciale qui le distingue des autres logiciels malveillants de cette classe. En termes de fonctionnalité et de principe de fonctionnement, Vovalex n’est pas différent des autres ransomwares: il crypte les fichiers de la victime et lui laisse ensuite une note de rançon. Cependant, le chercheur Vitaly Kremets, qui a découvert un nouveau ransomware, a révélé une fonctionnalité intéressante.

🏷️ D(ou Dlang) est un langage de programmation à usage général avec typage statique, accès au niveau système et syntaxe de type C. Avec le langage de programmation D, écrivez vite, lisez vite et exécutez vite.

Selon l’expert, Vovalex pourrait être le premier ransomware écrit dans le langage de programmation D. Selon la description sur le site officiel, les créateurs de D (ou Dlang) se sont inspirés du C ++. Cependant, D est également connu pour emprunter un certain nombre de composants à d’autres langues. En règle générale, les cybercriminels n’utilisent pas Dlang, mais dans ce cas, comme le suggère Vitaly Kremets, les attaquants tentent très probablement de contourner la détection par les programmes antivirus.

2021-01-29: 🆕🔥#Vovalex #Ransomware … in #Dlang or 'D'|x64 ~32mb Size
Probably First Documented Ransomware Written in 'D'
Dlang Section Headers with "dmd" Compiler
1⃣._deh
2⃣.dp
3⃣.minfo
4⃣.tp
XMR Monero Extortion |🤔D Likely Used to Bypass AV Detection
h/t @malwrhunterteam pic.twitter.com/XBjpsrbMLS
— Vitali Kremez (@VK_Intel) January 29, 2021

L’équipe MalwareHunterTeam a été la première à tomber sur Vovalex eta publié un échantillon du ransomware Vovalex sur VirusTotal. Les gars de BleepingComputer¹ a analysé l’échantillon et est arrivé à la conclusion que le ransomware est distribué comme une copie illégale de l’utilitaire CCleaner pour les systèmes Windows. Pendant le processus de démarrage, Vovalex ouvre une copie légitime du programme d’installation de CCleaner et place sa copie avec un nom de fichier arbitraire dans le répertoire %Temp%.

Faux installateur CCleaner

Après cela, le logiciel malveillant commence à crypter les fichiers sur l’ordinateur de la victime en leur ajoutant l’extension .vovalex. La dernière étape consiste à copier une note avec les exigences sur le bureau – README.VOVALEX.txt. Les attaquants demandent 0,5 XMR (crypto-monnaie Monero) pour un décodeur . En dollars, ce montant est d’environ 69,54 USD .

Voici un résumé du Vovalex:

Nom	Virus Vovalex
Contacts	VovanAndLexus@cock.li
Remarque sur le ransomware	README.VOVALEX.txt
Extension	.vovalex
Détection²	Trojan-Ransom.Vovalex (A), Ransom:Win64/Vovalex.MK!MTB, TrojanRansom.Win64.Vovalex
Symptômes	Vos fichiers (photos, vidéos, documents) ont une extension .vovalex et vous ne pouvez pas l’ouvrir.
Outil de réparation	GridinSoft Anti-Malware Voir si votre système a été affecté par le virus Vovalex