Une nouvelle opération de ransomware Onyx détruit des fichiers volumineux au lieu de les chiffrer, empêchant ces fichiers d’être déchiffrés même si une rançon est payée.
La semaine dernière, chercheur en sécurité MalwareHunterTeam découvert qu’une nouvelle opération de ransomware avait été lancée appelée Onyx.
Comme la plupart des opérations de ransomware d’aujourd’hui, les acteurs de la menace Onyx volent des données d’un réseau avant de chiffrer les appareils. Ces données sont ensuite utilisées dans des stratagèmes de double extorsion où ils menacent de divulguer publiquement les données si une rançon n’est pas payée.
Le gang des rançongiciels a connu un succès raisonnable jusqu’à présent, avec six victimes répertoriées sur leur page de fuite de données.
Cependant, la fonctionnalité technique du ransomware n’était pas connue jusqu’à aujourd’hui, lorsque MalwareHunterTeam a trouvé un échantillon du crypteur.
Ce qui a été trouvé est préoccupant, car le ransomware écrase les fichiers volumineux avec des données indésirables aléatoires plutôt que de les chiffrer.
Comme vous pouvez le voir dans le code source ci-dessous, Onyx crypte les fichiers dont la taille est inférieure à 200 Mo. Cependant, selon MalwareHunterteam, Onyx écrasera tous les fichiers de plus de 200 Mo avec des données aléatoires.
Comme il ne s’agit que de données créées de manière aléatoire et non chiffrées, il n’y a aucun moyen de déchiffrer des fichiers d’une taille supérieure à 200 Mo.
Même si une victime paie, le décrypteur ne peut récupérer que les fichiers cryptés plus petits.
D’après le code source, la nature destructrice de la routine de chiffrement est intentionnelle plutôt qu’un bug. Par conséquent, il est conseillé aux victimes d’éviter de payer la rançon.