Le programme malveillant Killdisk qui a été très actif ces dernières années avec des attaques informatiques conduisant à l’effacement de données sur des ordinateurs, connaît une seconde jeunesse en devenant un ransomware. Principale particularité, la demande de rançon est inhabituellement élevée. Killdisk est l’un des composants qui a été utilisé avec le malware Black Energy pour attaquer plusieurs centrales électriques ukrainiennes en décembre 2015. En plein hiver, plusieurs milliers de personnes avaient été privés de courant à cette occasion. Un mois avant cela, Killdisk avait également été employé contre une importante agence de presse ukrainienne. Depuis lors, Killdisk a aussi été utilisé dans d'autres attaques contre plusieurs cibles dans le transport maritime, selon des chercheurs en sécurité d’Eset.

Le malware a depuis évolué pour devenir redoutable. Au lieu d'effacer les données du disque, le malware chiffre les volumes et affiche un message demandant 222 bitcoins pour les restaurer. C'est l'équivalent de 216 000 $, une somme particulièrement importante pour une attaque de ce type. Ce qu’il faut noter, c’est qu’il y a aussi une version Linux de Killdisk, ciblant spécifiquement les machines - PC et serveur – équipés de l’OS libre. La routine de chiffrement et les algorithmes sont également différents de la version Windows. Et les clefs de chiffrement ne sont ni enregistrées localement ni envoyés à un serveur de commande et de contrôle, et les attaquants ne peuvent pas les fournir.

Une faille dans la version Linux 

« Les cybercriminels derrière cette variante Killdisk ne peuvent pas fournir à leurs victimes les clefs de décryptage pour récupérer leurs fichiers, et ce même si les victimes paient la très grosse somme exigée par ce ransomware », ont souligné les chercheurs d’Eset. La seule bonne nouvelle est la présence d’une faiblesse dans le mécanisme de cryptage de la version Linux qui permet - bien que difficile - à la victime de récupérer ses fichiers. Une chose impossible avec la version Windows de Killdisk.

On ne sait pas pourquoi les créateurs de Killdisk ont ajouté cette fonctionnalité de cryptage. Ils semblent toujours viser le même objectif que dans le passé - la destruction de données - mais avec cette tactique ransomware, ils pourraient également gagner beaucoup d’argent.