Windows 10 : ce ransomware change le mot de passe de votre session avant de chiffrer les fichiers

Le ransomware REvil est désormais capable de passer par le mode sans échec de Windows 10 pour modifier automatiquement le mot de passe du compte. De cette manière, il gagne plus facilement accès aux fichiers de la victime pour les crypter et peut ensuite exiger une rançon en échange de la récupération des données.

Windows 10 PC
Crédits : Unsplash

En mars dernier, les chercheurs en cybersécurité ont découvert qu’un ransomware nommé REvil redémarre le PC de sa victime en mode sans échec pour crypter ses fichiers personnels. Pour ce faire, il utilise l’argument — smode dans l’invite de commandes de Windows 10. Une fois le processus terminé, il gagne accès aux fichiers qu’il peut ensuite crypter avant d’exiger une rançon à l’utilisateur. Néanmoins, l’opération nécessitait jusqu’à maintenant que ce dernier procède lui-même au redémarrage pour le cryptage se fasse.

Les choses ont désormais changé. Le malware s’est en effet doté de deux nouvelles fonctionnalités inquiétantes, comme le rapporte le chercheur R3MRUM. Premièrement, REvil modifie le mot de passe de la session sans que la victime ne s’en rende compte. Ensuite, pour ne pas éveiller les soupçons, il redémarre lui-même le PC en mode sans échec pour enfin lancer automatiquement le cryptage des données. Plus précisément, il configure Windows 10 pour que le système d’exploitation redémarre en mode sans échec.

Sur le même sujet : Windows 10 — comment supprimer gratuitement tous les malwares avec Microsoft Safety Scanner

Le ransomware REvil évolue et devient plus dangereux

Une fois installé, REvil change le mot de passe utilisateur par « DTrump4ever », avant de configurer le Registre correspondant pour que Windows reconnaisse ce dernier comme le véritable identifiant. Il est possible qu’un autre mot de passe puisse être inscrit dans le registre. Toutefois, deux versions du malware postées sur la base de données VirusTotal utilisent « DTrump4ever ».

Il est très probable que cet ajout a pour fonction de passer inaperçu aux yeux des antivirus et divers programmes de surveillance, exactement comme le fait le malware Snatch. De plus, il peut de cette manière désactiver les applications de récupération, ainsi que les serveurs cloud afin d’augmenter ses chances de crypter les fichiers.

Si les victimes ne paient pas la rançon demandée, elles s’exposent à un risque d’attaque DDoS sur son adresse mail et celle de ses collaborateurs professionnels. Malheureusement, même si elle se plie aux exigences des cybercriminels, elles n’ont aucune certitude de remettre un jour la main sur leurs données cryptées. Le malware Ryuk est notamment connu pour supprimer les fichiers subtilisés une fois la rançon payée.

Source : Bleeping Computer


Réagissez à cet article !

Demandez nos derniers articles !

Android : beaucoup l’ignorent, mais ce petit réglage permet de booster l’autonomie de votre smartphone

Génération après génération, nos smartphones embarquent des batteries toujours plus performantes et endurantes. Néanmoins, cela va de pair avec la consommation énergétique des applications. Une option méconnue permet justement de…

Test Honor MagicBook 16 de 2026 : le PC portable à 1000 euros vaut-il le coup ? (spoiler : on hésite !)

Honor continue de fournir des configurations à moins de 1000 euros, censées répondre à toutes les attentes. Mais en 2026, le MagicBook 16 a-t-il encore tous les atouts pour nous…

PlayStation : Sony profite de la mort du marché physique pour annoncer celle des stores PS3 et PS Vita

Grosse journée pour Sony qui, non content d’avoir mis à mort le jeu vidéo au format physique, vient également d’annoncer la fermeture de ses stores PS3 et PS Vita. Puisqu’on…

AliExpress dévoile une avalanche de promotions avec de nouveaux codes, les prix cassés sont au rendez-vous

Les opérations promotionnelles reprennent chez AliExpress. En parallèle des soldes, la plateforme casse le prix de nombreux produits high-tech avec des remises immédiates auxquelles s’ajoutent des codes promo cumulables. Smartphones,…

Ninja SLUSHi : avec cette double promotion, la machine à boissons glacées passe à prix mini, c’est parfait pour l’été !

Vous en avez marre de subir les journées de canicule ? Vous voulez une solution pour vous rafraîchir cet été ? Ninja propose en ce moment une double promotion sur…

Orange lance un forfait 5G gratuit avec 20 Go de data, qui en veut ?

Pour attirer les clients, Orange propose un essai gratuit donnant accès à un forfait mobile 5G avec 20 Go de data pendant 31 jours. Une condition pour en profiter :…

Ce détail oublié dans le passé d’une Tesla explique la dégradation surprenante de sa batterie

Le kilométrage ne dit pas tout sur la santé d’une batterie électrique. Une Tesla Model 3 en fait la démonstration parfaite. Son résultat déjoue les attentes de son conducteur, pourtant…

PlayStation annonce la fin des jeux physiques en 2028, la PS6 signe la mort du disque

Janvier 2028. Sony date la fin du support physique sur disque pour ses consoles PlayStation. Un véritable séisme qui va secouer le marché du jeu vidéo à tout jamais. Coup…

BMW dégaine l’iX5 et pulvérise ses rivaux avec une autonomie que personne n’attendait

BMW poursuit son offensive dans l’électrique haut de gamme. La marque dévoile l’iX5, la déclinaison zéro émission de son best-seller. Son autonomie annoncée grimpe à un niveau rarement atteint sur…

Cette découverte cachée sous la surface de Mars pourrait expliquer pourquoi la planète a été habitable

La planète rouge cachait un secret dans ses profondeurs. Des données de la sonde InSight révèlent un phénomène jusqu’ici observé uniquement sur Terre. Mars aurait pu rester habitable bien plus…