PE32 est une nouvelle variante de ransomware récemment détectée, dont les capacités sont relativement basiques, mais qui présente un mode de communication inédit : l’utilisation de Telegram. Cette méthode, plus commune dans les logiciels de vol de données (stealers), est ici appliquée pour contrôler le ransomware à distance et transmettre les informations d’infection.

⚙️ Fonctionnement

Une fois exécuté, PE32 :

  • Attend une commande de l’opérateur pour déterminer l’étendue du chiffrement (soit seulement le dossier courant, soit l’ensemble du système).
  • Cible des répertoires visibles comme le Bureau de l’utilisateur.
  • Ajoute l’extension .pe32s aux fichiers chiffrés.
  • Génère une note de rançon dans un dossier spécifique C:\PE32-KEY, au lieu de l’afficher directement sur le Bureau.

Le comportement du malware est bruyant, ce qui signifie qu’il ne cherche pas à rester discret. Il chiffre des fichiers parfois non critiques, ce qui peut causer des alertes systèmes ou des utilitaires de réparation spontanés.

💰 Exigences de rançon

Les opérateurs de PE32 utilisent un double système de rançon :

  • Une première somme est exigée pour déchiffrer les fichiers.
  • Une seconde somme est demandée pour empêcher la diffusion publique de données volées.

Les montants varient de 700 à 7 000 dollars pour les utilisateurs individuels, et peuvent atteindre 2 BTC ou plus pour les entreprises.

📡 Utilisation de Telegram

PE32 n’utilise pas de serveurs de commande classiques (C2), mais repose uniquement sur des bots Telegram pour :

  • Recevoir des ordres de chiffrement.
  • Envoyer les informations système de la machine infectée (nom de l’ordinateur, langue, politiques logicielles…).

Ce canal présente des avantages pour les attaquants en termes de simplicité, mais les expose aussi davantage aux efforts de détection et de suppression de Telegram.

🧪 Comportement en environnement infecté

  • Le malware collecte des métadonnées système probablement pour éviter certaines zones géographiques ou configurations spécifiques.
  • Il chiffre même des fichiers système non critiques (comme les fichiers de langue), ce qui peut provoquer des redémarrages ou des scans correctifs automatiques par l’OS.
  • Il ne dispose d’aucune technique d’obfuscation ou d’évasion, ce qui le rend relativement simple à détecter pour des outils bien configurés.

🔗 Source originale : https://any.run/cybersecurity-blog/pe32-ransomware-analysis/