Les internautes de France, d’Espagne, d’Australie, de Roumanie, des Etats-Unis et de quelques 45 autres pays sont actuellement visés par une campagne de malvertising.

La campagne a été découverte au mois d’août 2015 et est toujours active. Le serveur qui héberge la publicité est toujours en état de marche, bien que le réseau publicitaire ait été notifié de l’activité illégale perpétrée par son service.

Ainsi, les internautes qui se rendent sur des sites pornographiques comme xHamster sont susceptibles d’être redirigés vers une page malveillante après qu’ils aient cliqué sur une publicité pour une application de rencontres sexuelles, desservie par l’entreprise publicitaire TrafficHaus.

Les attaquants exploitent une faille contenue dans Internet Explorer, et commencent par détecter si la connexion provient bien d’un être humain et non pas d’un environnement sandboxé ou un honeypot (deux techniques utilisées par les chercheurs en sécurité informatique).

Une fois que l’internaute a cliqué sur la publicité, il est redirigé vers une page de ce type – la page est géolocalisée, ci-dessous un capture d’écran en français :

Un message alarmant indique que l’ordinateur a été verrouillé, que les fichiers de l’utilisateur sont en cours de chiffrement et que sa session est à présent filmée/enregistrée.

Cette page fait croire à l’internaute qu’il a désormais 96 heures pour payer son amende de 100 euros, sans quoi ses fichiers seront chiffrés à tout jamais et il sera poursuivi en justice.

Comment supprimer ce ransomware ?

« A vrai dire, aucun malware n’est exécuté sur la machine, le chiffrement n’a donc pas lieu », déclare Alexandru Rusu, Chercheur en malware chez Bitdefender. « Techniquement, ce n’est pas un ransomware, c’est un type de scareware qui effraie les internautes peu expérimentés car l’écran est alors bloqué. »

La page ne se ferme pas, même si l’utilisateur paie. Afin de fermer la page – sans payer la rançon bien sûr – l’utilisateur doit ouvrir le gestionnaire des tâches en appuyant sur Ctrl + Shift + Echap. Sur Windows 8, l’utilisateur peut faire un clic droit sur Internet Explorer puis fermer le processus.

Il est recommandé d’utiliser une extension de navigateur anti-script afin de bloquer les publicités malveillantes, ainsi qu’un antivirus pour bloquer proactivement les pages non sûres.

Bitdefender 2016 inclut une protection sur le Web vous permettant de vérifier si les liens sont considérés comme sûrs avant de cliquer dessus. Bitdefender bloque également l’accès aux liens infectés sur lesquels vous avez déjà cliqué.

Plus d’informations sur les ransomwares : Ransomwares, vaut-il mieux perdre ses données ou son argent ?

Cet article a été écrit à partir des informations techniques fournies par Alexandru Rusu, Chercheur en malware chez Bitdefender.