Des cyber-criminels russes couplent de fausses accusations de pornographie juvénile avec de vrais dommages informatiques via une nouvelle arnaque extorquant 500 roubles (17$) à leurs victimes, selon une analyse de Bitdefender.

Une fois Trojan.Agent.ARVP installé, la victime reçoit un message indiquant que du contenu pédopornographique a été détecté sur son ordinateur et lui demande de payer une «amende» via un service de paiement. Pour maintenir la pression, le cheval de Troie bloque l'ordinateur afin d’obtenir le paiement de la « rançon » de l’ordinateur.

L'escroquerie marque un tournant dans les activités des cybergangs russes, dont beaucoup se sont fait la spécialité de diffuser de faux antivirus ou des scams tels que la fameuse fiancée russe à la recherche d’un homme occidental. Cette arnaque liant pornographie et pédophilie cible les russophones pour l'instant mais de telles attaques sont souvent traduites en anglais et d’autres langues afin toucher un plus large « public ».

Ce cheval de Troie se propage en dupant les utilisateurs qui cliquent naïvement sur des liens malveillants partagés par leurs amis sur des sites de réseautage social et consorts. Une fois que le cheval de Troie infecte le système, il bloque l'ordinateur et affiche un message qui recouvre presque la totalité de l'écran. Ce dernier indique que du contenu pédopornographique a été découvert sur le système de l'utilisateur et qu’une amende doit être réglée.

Fig. 1 Le message (en russe) envoyé par le Trojan.Agent.ARVP

La demande de rançon couvre 90% de l’écran. D’autres outils de secours tels que le gestionnaire des tâches, l'explorateur Windows® et applications de connexion utilisateur sont mis à mal et effacés par le Trojan qui empêche le système de fonctionner correctement.

Les escrocs indiquent que la victime doit payer dans les 12 prochaines heures ou l’affaire sera transmise à la police locale et toutes les données stockées sur l'ordinateur seront bloquées voire supprimées, le système d'exploitation désinstallé et le BIOS effacé.

En réalité, les données seront toujours présentes et le BIOS ne sera pas affecté après le passage du délai de 12 heures. Mais le PC reste verrouillé. Payer la rançon ne le déverrouillera certainement pas. Une analyse approfondie à la recherche de malwares révèle qu'il n'y a aucun moyen de déverrouiller le PC, alors la promesse de « remise en liberté » ne sera pas tenue.

Les messages comme celui-ci doivent immédiatement éveiller vos soupçons. Il est extrêmement rare qu'un organisme légal utilise le Web pour recueillir le paiement d’amendes suite à une infraction présumée. Pour rester à l'abri de ces arnaques, les utilisateurs sont invités à examiner prudemment les liens sur lesquels ils sont invités à cliquer.