Ranscam n'est pas un crypto-ransomware même s'il veut le laisser croire. S'il prétend déplacer les fichiers d'un utilisateur pris pour cible dans une partition dite cachée et chiffrée, il n'en est rien. Ce malware pour Windows les a en fait déjà supprimés, et donc sans possibilité de récupération malgré le paiement d'une rançon.

Ce nuisible s'attache par ailleurs à effacer des fichiers exécutables en rapport avec la fonctionnalité de restauration système de Windows, modifie des clés de registre pour désactiver le Gestionnaire des tâches et en supprime d'autres qui sont associées à un redémarrage en mode sans échec.

Division sécurité de Cisco, Talos a repéré Ranscam dans un exécutable .NET. Après infection, le malware fait une demande de rançon et affiche un bouton à cliquer pour indiquer qu'un paiement de 0,2 bitcoin (l'équivalent de 120 €) a bien été effectué.

Ranscam-1

Un clic sur ce bouton fait apparaître un message pour préciser que le paiement n'a pas été validé et qu'un fichier sera supprimé à chaque nouveau clic sans paiement. En réalité, il n'y a aucune procédure de vérification du paiement. La manœuvre vise à inciter un utilisateur à payer plusieurs fois… sachant que de toute manière il ne récupérera pas ses fichiers.

Ranscam-2

D'après Cisco Talos, Ranscam n'est apparemment pas beaucoup diffusé et ne fait pas l'objet d'une campagne de spam à grande échelle. Par ailleurs, les cybercriminels derrière Ranscam n'auraient reçu aucun paiement au cours de ces dernières semaines.

Au " mieux ", Ranscom prouve qu'un paiement de rançon ne permet pas nécessairement de récupérer des fichiers. Reste que pseudo ou vrai crypto-ransomware, la sauvegarde régulière de ses fichiers est à avoir à l'esprit.