Yatron ransomware contient les logiciels malveillants EternalBlue et DoublePulsar pour exploiter un PC ciblé

Yatron ransomware

Le ransomware Yatron en est un qui analyse l’ordinateur ciblé à la recherche de fichiers spécifiques et les chiffre en utilisant la cryptographie RaaS. Immédiatement après, il ajoute les noms de fichiers avec l’extension .Yatron et rend les fichiers inaccessibles.

Une fois le processus crypté terminé, le ransomware génère un fichier .txt contenant un message court. Le message indique que les victimes doivent payer une rançon aux développeurs dans les 72 heures, sinon les fichiers cryptés seront supprimés.

Le ransomware envoie les mots de passe de cryptage et le code unique au serveur de commande et de contrôle. Sur la note de rançon, les développeurs prétendent fournir le déchiffrement lorsque la redevance de rançon est faite.

Selon Michael Gillespie, chercheur en cybersécurité, Yatron est basé sur HiddenTear, mais depuis que l’algorithme de cryptage a été modifié de sorte qu’il ne puisse pas être déchiffré à l’aide de méthodes connues.

Codes malveillants sur Yatron susceptibles de provoquer des exploits EternalBlue et DoublePulsar

Pour votre information, EternalBlue est un exploit d’exécution de code à distance SMBv1 qui permet aux cybercriminels à l’origine de la menace de compromettre les vulnérabilités des hôtes Windows. D’autre part, DoublePulsar est une porte dérobée qu’ils utilisent pour télécharger un contenu spécifique sur un hôte infecté.

L’analyse indique que Yatron Ransomware-as-a-service contient les codes qui devaient être utilisés pour propager ces deux exploits sur le même réseau via les vulnérabilités de sécurité SMBv1.

Ces codes vont rendre le ransomware plus dangereux. En plus de chiffrer les fichiers et de les rendre inaccessibles, cela peut créer un risque de vulnérabilité du système. Certains des risques majeurs que cela créera, si ces deux codes se propagent sur le réseau et s’installent sur le système avec le logiciel ransomware sont les suivants:

  • Le ransomware peut causer des problèmes sur le système en provoquant divers problèmes à l’intérieur. Le code Eternalblue-2.2.0 exe ​​sera traité en permanence sur le gestionnaire de tâches et sur plusieurs emplacements. Il modifie les clés de registre Windows, l’invite de commande, les configurations DNS, etc. En bref, il altère les performances du PC, ce qui le rendra plus lent que jamais.
  • Le ransomware a été utilisé avec le code Doublepulsar-1.3.1.exe, ce qui signifie que les cybercriminels peuvent télécharger d’autres programmes malveillants au sein de l’hôte infecté. Ces malwares vont s’immiscer dans l’ensemble et mener de nombreuses activités susceptibles d’endommager gravement le PC.

Les deux codes étant actuellement inachevés, le Yatron n’utilise pas les fichiers exécutables Eternalblue-2.2.0.exe et Doublepulsar-1.3.1.exe. Néanmoins, son déchiffreur n’a pas été créé par des experts en cybersécurité. Il a donc été distribué aujourd’hui en quelques jours et suscite des tensions entre plusieurs experts en cybersécurité.