Comment fonctionne Polyglot ?

· Phase 1 : Il se propage via des emails de spam qui contiennent une pièce
jointe malicieuse cachée dans une archive RAR.

· Phase 2 : Durant le processus de chiffrement, il ne change pas le nom des
fichiers infectés mais en bloque l’accès.

· Phase 3 : Une fois le processus de chiffrement terminé, le wallpaper de
bureau de la victime est remplacé par la demande de rançon. Les fraudeurs demandent
que l’argent leur soit remis en bitcoins et si le paiement n’est pas fait dans les
temps, le Trojan se détruit en laissant tous les fichiers chiffrés.

Lien avec CTB-Locker ?

Le fonctionnement et le design de ce nouveau ransomware sont proches de ceux de
CTB-Locker,
un autre ransomware découvert en 2014 qui compte de nombreuses victimes à travers le
monde. Mais après analyse, les experts de Kaspersky Lab n’ont trouvé aucune
similarité dans le code. En revanche, contrairement à CTB-Locker, le générateur de
clés de chiffrement utilisé par Polyglot est faible. Les créateurs de Polyglot
semblaient penser qu’en imitant CTB-Locker, ils pourraient piéger les utilisateurs
en leur faisant croire qu’ils étaient victimes d’un grave malware, ne leur laissant
d’autre option que de payer.

D’autres outils de déchiffrement sont disponibles sur la plate-forme No More Ransom
 : https://www.nomoreransom.org/decryption-tools.html
Pour en savoir plus, rendez-vous sur Securelist.com :
https://securelist.com/blog/research/76182/polyglot-the-fake-ctb-locker/