La firme de Redmond a publié une alerte pour les utilisateurs de Windows afin de les prévenir de l'existence d'un nouveau type de ransomware. Identifié en tant que ZCryptor, ce ransomware est diffusé par le biais d'emails de spam, des macros pour Office ou de faux fichiers d'installation pour Flash Player.
Après infection, ZCryptor se dépatouille pour être exécuté au démarrage. Grâce à un fichier HTML, il va afficher une demande de rançon de 1,2 bitcoin (plus de 500 €) pour retrouver l'accès à des fichiers qui auront été chiffrés et dotés d'une extension .zcrypt. Le spectre des types de fichiers affectés est assez large. À défaut de paiement dans les quatre jours, la rançon passe à 5 bitcoins (plus de 2 000 €).
Du très classique pour un ransomware mais l'originalité de ZCryptor et qu'il se prend pour un ver informatique. Il a ainsi la capacité de se propager sur d'autres systèmes via des supports amovibles ainsi que des disques réseau. Une action notamment possible grâce à un fichier autorun.inf malveillant.
Trend Micro confirme le comportement de ver informatique pour ZCryptor. Un des rares ransomwares à être capable de se diffuser par lui-même. " Il laisse une copie de lui-même dans des disques amovibles, rendant à risque l'utilisation de périphériques USB. "
C'est donc une autre mauvaise nouvelle dans le domaine des ransomwares, même si la menace ZCryptor semble parfaitement identifiée.
