REvil

Une définition du Jargon Français.
(Redirigé depuis Sodin)
Aller à : Navigation, rechercher

Dr enus.png nom propre  [malware]. Ransomware Evil. Nom d'un rançongiciel qui chiffre des fichiers, les détruit puis propose d'obtenir la clé de déchiffrement contre une rançon payable en cryptomonnaie. Proposé via du RaaS, il évolue constamment afin de rendre sa détection difficile.

L'attaque repose sur divers vecteurs, notamment du malspam.

Sitôt un système infecté, quasiment toujours grâce à un 0day, ce malware prend le contrôle, se dissimule, stoppe des processus et détruit des données techniques qui pourraient le rendre perceptible ou faciliter sa détection, détermine aléatoirement une extension (sens 2), puis chiffre discrètement les contenus des fichiers accessibles (y compris ceux mis à disposition via un réseau) recelant probablement des informations. Il stocke la version chiffrée dans un nouveau fichier portant le nom du fichier originel et l'extension aléatoirement déterminée, et laisse la version originelle en place. Lorsque suffisamment d'informations sont ainsi chiffrées il détruit les versions originelles, ne laissant que les versions chiffrées (inutilisables) ainsi qu'un fichier (nommé par exemple HOW-TO-DECRYPT.txt ou ((l'extension aléatoire))-readme.txt) exposant que pour obtenir la clé de déchiffrement il faut payer une rançon dans les prochains jours, et fournit un URL de serveur web accessible via TOR où des détails sont publiés. Le logiciel peut également modifier le papier-peint afin qu'il recèle un message explicite. Durant certaines étapes il informe discrètement ses créateurs et leur communique des informations sur le système infecté voire certaines informations stockées sur ce dernier.

Si la victime ne paye pas la rançon, par exemple parce qu'elle refuse de céder au chantage ou dispose d'une sauvegarde jugée suffisamment à jour, le (ou les) pirate menace parfois de divulguer les données volées (si elles lui semblent confidentielles). Il a ainsi publié dans des forums russes surtout fréquentés par des pirates, et les textes explicatifs destinés à la victime l'invitent à les consulter afin de découvrir ce qu'endurent ceux qui ne paient pas la rançon.

Ce logiciel prend soin de détecter si le système infecté est paramétré afin d'utiliser une langue slave (en particulier un clavier à touches en alphabet cyrillique), et si c'est le cas n'attaque pas. On peut donc supposer que ses auteurs sont russes (car s'abstenir d'abuser de systèmes russes ou de nations affiliées les laisse espérer que la police russe ne tentera pas de les capturer) ou veulent laisser croire qu'ils le sont.

Son nom fait probablement référence à Resident Evil.

Actif depuis 2019.

Synonyme Sodinokibi et Sodin.

Voir aussi Kaseya.