Mammoutux
Accueil du site > Actualités > "Dans la peau d’un ransomware"

"Dans la peau d’un ransomware"

mercredi 28 janvier 2015, par BruTux

"Dans la peau d’un ransomware"

par Damien Bancal, de ZATAZ MAG

Merci à Cyber-Sentinelle pour ces informations.

C’est une Entreprise spécialisée dans la sécurité informatique, basée en Haute-Savoie et ayant une parfaite maîtrise de l’environnement Windows et de l’Internet. Respect à leur travail exemplaire.

http://cybersentinelle.canalblog.co... https://www.facebook.com/cybersentinelle https://twitter.com/ZenEthic?lang=fr

"Dans la peau d’un ransomware Diffusé le 27 jan 2015, Ecrit par : Damien Bancal.

Les ransomwares, ces logiciels qui piègent vos fichiers et vos ordinateurs, vous en avez tous entendu parler. Ils se nomment Virus Hadopi, Virus gendarme (Reveton), CTB, Critno, CryptoLocker, … Le 19 janvier, zataz.com vous expliquait comment des institutions territoriales (mairies, Communautés de communes, …) s’étaient fait piéger par ce type de code malveillant. Logiciel pirate qui avait chiffré les fichiers et réclamé une somme d’argent pour pouvoir récupérer les documents. ZATAZ Magazine va vous montrer l’attaque du côté pirate.

J -1 avant l’attaque

Le code de Пірат [Le pseudo de notre pirate créé pour l’occasion de cet article, NDR] est enfin prêt. La mission de son logiciel, se faire passer pour un screen saver (.scr), un écran de veille. Son exécutable, il le cache dans un fichier compressé au format .zip. Il espère ainsi que les internautes qui le recevront, cliqueront. Pour cela, le social engineering est un élément très important dans son attaque. D’abord le nom de son .scr. Des noms qui accrochent l’œil comme « woman », « sex », … Ensuite, le message communiqué par courriel. Пірат diffuse son courriel en Allemand, Néerlandais, Italien, Français, Espagnol et Anglais. Il indique qu’un fax est en attente. Des variantes indiquent aussi une facture ou un document comptable. A noter que zataz vous alertait du début de cette attaque, il y a 15 jours, sur le twitter officiel de la rédaction @zataz.

H -12 avant l’attaque

Пірат peaufine ses sites Internet dédiés au paiement et au déchiffrement des fichiers piégés. Son attaque est intégralement automatisée. L’escroc a créé plusieurs espaces cachés dans le darknet. Des sites en .onion, quasiment impossible à remonter. Les utilisateurs du système TOR connaissent bien cet indicatif. Il permet d’avoir l’assurance d’une protection contre l’espionnage. Malheureusement, les pirates ont compris, il y a bien longtemps, l’utilité de cet outil d’anonymisation. Пірат est content. Son outil automatique est prêt à recevoir les complaintes des internautes, sociétés, mairies piégés. La fenêtre du pirate s’affiche à l’écran de l’ordinateur infecté.

La fenêtre du pirate s’affiche à l’écran de l’ordinateur infecté.

H -2 avant l’attaque

Пірат a payé à d’autres pirates des espaces Internet préalablement infiltrés. Cela lui permet d’accéder à des outils malveillants qui vont exploiter les sites piratés pour diffuser des centaines de milliers de courriels, sans laisser de traces, sauf celles des sites pénétrés par les cybers pirates. Des sites basés un peu partout dans le monde, comme via-syndic.com, une société basée au Maroc.

10 minutes après l’attaque

Les courriels sont partis. Les premiers clics apparaissent dans la console de пірат. Une fois que ses « pigeons » sont ferrés, que les ordinateurs sont infiltrés, les fichiers sont rendus illisibles, le pirate n’a plus qu’à attendre.

15 minutes après l’attaque

Les premiers fichiers chiffrés arrivent dans les serveurs de пірат. Son outil « woman.scr » ne fait pas que chiffrer les fichiers qu’il trouve dans les ordinateurs (*.pdf, *.jpg, *.doc, *.txt, …), ils profitent du moment de panique dans les entreprises pour télécharger un maximum de documents.

20 minutes après l’attaque

Пірат sourit, les premières demandes arrivent sur ses sites cachés dans Tor. Il faut dire aussi que les messages qui s’affichent dans les écrans des personnes piratées ont de quoi attirer les regards. Son outil affiche un compte à rebours « flippant » et un message clair comme de l’eau de roche : « Vos fichiers sont chiffrés, il faut payer pour les récupérer« . Le pirate propose un mode d’emploi pour le rejoindre sur TOR.

Le pirate propose un mode d’emploi pour le rejoindre sur TOR.

Пірат propose même un mode d’emploi pour rejoindre TOR et son outil automatique de déchiffrement. Il fournit aussi une clé de 168 signes à rentrer dans son outil. Cela permet au « bot » de reconnaitre sa victime et de lui proposer de quoi déchiffrer 5 fichiers, gratuitement. Les autres, il faut payer.

30 minutes après l’attaque

Пірат le sait, ceux qui ne payeront pas, auront perdu des semaines, des mois, des années de travail. Il sait aussi que 34% des entreprises françaises ne font aucune sauvegarde de leurs données (Source : DELL). Bref, payer ou mourir (Une PME qui perd ses données disparait en 3 mois, NDR). Пірат en profite, chaque heure, son « microbe » fait grimper les prix. Ca débute à 200€ pour finir à une demande de rançon de 600. Пірат se marre, les outils proposés par les éditeurs d’antivirus comme Rakhni decryptor, Rannoh decryptor, Xorist decryptor de Kaspersky ; Panda unransom de Panda Security ; TL08 unlock de DrWeb ne servent à rien.

Pour accéder à l’espace "information" du pirate, il faut rentrer une clé unique.

Pour accéder à l’espace « information » du pirate, il faut rentrer une clé unique.

40 minutes après l’attaque

Les premières sommes d’argent arrivent sur les comptes bitcoins пірат. Combien gagnent-ils ? Le mystère reste complet. Le pirate propose de déchiffrer 5 fichiers "gratuitement" pour prouver son savoir faire !

Le pirate propose de déchiffrer 5 fichiers « gratuitement » pour prouver son savoir faire !

H +1 après l’attaque

Que faire face à ce genre d’attaque ? D’abord, ne pas ouvrir les fichiers proposés en pièces jointes dans les courriels d’inconnus. Pour moi, c’est une faute grave que de vouloir ouvrir un document baptisé sex.zip ; woman.zip ou encore fax.exe. Il est encore plus grave et inconscient que d’exécuter le woman.scr caché dans sa coquille .zip. Je serai même à deux doigts de dire aux victimes « dommage, mais c’est de votre faute ». Un antivirus ne vous aidera pas. Arrêtez de penser tout savoir sur l’informatique ; de vous la jouer « moi, l’informatique, je maîtrise ». La prudence et la réflexion face à un document numérique est la priorité des priorités. Si vous avez un doute sur un fichier envoyé par un « contact », perdez 60 secondes, appelez-le pour qu’il vous confirme la correspondance. Dernier point, ne payez pas les escrocs. Vos fichiers sont perdus et définitivement perdus. Inquiétez-vous plutôt de ce que je pirate a pu recevoir pendant son infiltration. Un backup, et/ou une sauvegarde extérieure, sera votre roue de secours. Ne payez pas ! Verser une rançon renforce la motivation aux escrocs. Ne payez pas ! Des cas ont démontré que les fichiers déchiffrés ont été de nouveaux piégés, quelques heures plus tard !

Article original appartenant à zataz.com : ZATAZ Magazine » Dans la peau d’un ransomware http://www.zataz.com/dans-la-peau-d..."

Portfolio

Répondre à cet article

SPIP | squelette | | Plan du site| Contacter Mammoutux  | Suivre la vie du site RSS 2.0