ransomware - image cryptee

Si vous avez des infections (Virus/Vers/Malware spywares, pubs etc... :)

Modérateurs: Mods Windows, Helper

Re: ransomware - image cryptee

Messagepar max weight » 08 Avr 2012 18:04

ѠOOT a écrit:Bonjour à tous

Je sais que vous êtes très nombreux à attendre ce moment - c'est dans la boite, la bestiole est isolée.
Merci Malekal, S!Ri, Kaféine et ceux de l'ombre qui ont été extra durant toute la matinée ; quelle équipe !

Pour ceux qui veulent créer des outils, nous vous mettons cet échantillon à disposition.
http://secuboxlabs.fr/kolab/api?hash=32 ... f5c8ebd0c3

Bon courage à tous !


Salut Woot,
que veux tu dire par la bestiole est dans la boite ?
Tu parles de la saloperie qui a locké des fichiers chez une bonne partie des victimes de la "Gendarmerie" ?
Malekal a l'air de dire, qques messages après le tien, qu'il faut attendre qu'un antivirus développe un fix : serait-ce pour bloquer la bête ou réparer ses dégâts sur les fichiers ?

Désolé pour les questions, mias le problème est dur à suivre pour les novices...

Et merci de l'aide..

MAx

max weight
newbie
newbie
 
Messages: 13
Inscription: 07 Avr 2012 10:38

Re: ransomware - image cryptee

Messagepar angelique » 08 Avr 2012 18:11

le drop a été récupéré , maintenant il faut attendre qu'un antivirus développe un fix : pour réparer ses dégâts sur les fichiers
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Partout sur la planète, de la qualité sans Pubs Image ST_Malo_SinSing -- http://sing-sing.org/confort2.pls -- http://stream.sing-sing.org:8000/singsing128
Supprimer les "virus" gratuitement http://www.supprimer-virus.com/
ImageCompte_Joint_avec_mon_Mec

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
 
Messages: 23980
Inscription: 28 Fév 2008 14:58
Localisation: Breizhilienne

Re: ransomware - image cryptee

Messagepar max weight » 08 Avr 2012 18:18

Ok, Angélique,
Et y a t-il une procédure pour prévenir les dits "antivirus", leur faire connaître le problème, et éventuellement leur apporter les éléments connus ?
Parce que je suppose qu'ils doivent être au courant pour tenter de développer quelquechose, n'est-ce pas ?

Max

max weight
newbie
newbie
 
Messages: 13
Inscription: 07 Avr 2012 10:38

Re: ransomware - image cryptee

Messagepar angelique » 08 Avr 2012 18:20

Des personnes s'en occupent .
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Partout sur la planète, de la qualité sans Pubs Image ST_Malo_SinSing -- http://sing-sing.org/confort2.pls -- http://stream.sing-sing.org:8000/singsing128
Supprimer les "virus" gratuitement http://www.supprimer-virus.com/
ImageCompte_Joint_avec_mon_Mec

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
 
Messages: 23980
Inscription: 28 Fév 2008 14:58
Localisation: Breizhilienne

Re: ransomware - image cryptee

Messagepar max weight » 08 Avr 2012 18:35

Alors,
il faudra les remercier de ma part entre autres, je suppose, si leur action permet de sauver nos fichiers, en les délockant...
Et merci à toi également..

Par ailleurs, j'aimerais bien qu'on me laisse seul dans une petite pièce un moment avec un de ces charmants escrocs...
Si quelqu'un les trouve un jour, bien sûr...

A+

MaX

max weight
newbie
newbie
 
Messages: 13
Inscription: 07 Avr 2012 10:38

Re: ransomware - image cryptee

Messagepar Malekal_morte » 08 Avr 2012 18:45

Récupérer les documents. Si c'est possible.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 68015
Inscription: 10 Sep 2005 13:57

Re: ransomware - image cryptee

Messagepar ѠOOT » 13 Avr 2012 15:49

Bonjour,

Vous êtes nombreux à discuter de cette nouvelle menace sur les forums d'entre aide. Notez que nous avons observé quelques comportements plus ou moins discutables car si chacun y va de sa théorie avec des hypothèses sur le pourquoi du comment : il y a de tout, de rien... surtout du rien. Il est vrai que les helpers ont le mérite d'être patients et de tenter de trouver des solutions mais n'oubliez jamais qu'en de telles circonstances, si vous devez donner des consignes à votre interlocuteur, assurez-vous d'être sûr du résultat afin de préserver les données! Pour ma part, j'ai cherché un moment sur la manière de vous exposer des informations utiles sur ce sujet relativement complexe.

Make everything as simple as possible, but not simpler. (Albert Einstein)


[1] J'y comprends jamais rien d'abord / M'en fiche, je ne veux pas comprendre.
Si votre ordinateur a été infecté, c'est tout simplement parce que votre système d'exploitation ou vos logiciels n'étaient pas à jour. Un ordinateur connecté à Internet qui n'est pas à jour aura une durée de vie très courte, même si vous pensez être en sécurité grâce aux solutions de sécurité installées. Si vous suivez les billets de Malekal (voir aussi [pdf] TrendMicro: Police Trojan), vous avez observé que les versions précédentes se limitaient à bloquer l'ordinateur de la victime en échange d'une rançon pour le débloquer. Or, cette nouvelle version va beaucoup plus loin : vos fichiers sont "pris en otage" en échange d'une somme d'argent - c'est un rançongiciel. Même si vous "nettoyez", vos fichiers seront corrompus / illisibles. Nous avons réussi à récupérer des fichiers telles qu'ils étaient au départ MAIS c'est sous certaines conditions ET ce n'est vraiment pas aisé d'automatiser le processus. Autant dire, M*#!! FAIT CH*#!! Si, si allez y, n'hésitez pas à pester à voix haute, ça soulage. A ce stade, voilà où nous en sommes de notre côté.


[2] J'suis une leet / J'veux épater les filles.
Premier point, ces personnes ne sont pas des enfants qui s'amusent mais des cybercriminels expérimentés. L'auteur de ce programme malveillant n'est pas un bleu, il maitrise certaines techniques permettant de ralentir les analyses par rétro-ingénierie. Sans entrer dans le fonctionnement détaillé, essayons de comprendre quelques points clés.

Petite précision, un seul échantillon a été décortiqué pour fournir ces éléments.
Premier point important, déchiffrer les communications avec le C&C.

Le programme sélectionne un nom de domaine dans une liste nommée "BASEURL"
La première requête est en méthode GET /dg797FDFddd.php?id=%s&cmd=img
[!] Le serveur va générer à la volée les contenus chiffrés à l'aide de l'id.

- A quoi correspond la variable "id" ?
* N° série du volume C: (GetVolumeInformationA) - exemple: "DEADBEAF"
* Nom utilisateur (GetUserNameA) - exemple: "COW"
* Nom machine (GetComputerNameA) - exemple: "FARM"

Concatènation de "DEADBEAF" + "COW" + "FARM"
Puis un sprintf avec format "%s%08X%04X"
Ce qui nous donne "DEADBEAF4D5241460000"
nb: "id" sera toujours 20 chars hex.

- A quoi correspond la variable "cmd" ?
Vous vous en doutez surement (cmd = commande)
La valeur "img" indique au serveur ce qu'il faut retourner.
Le contenu renvoyé, un bloc chiffré, sera interprété par le malware.

- Quelles sont les commandes ?
Nous ne divulguerons pas certaines informations.
Celles que vous pouvez observer sont:
* cmd=img
* cmd=geo
* cmd=lfk

- Comment déchiffrer les communications ?
Le programme utilise les CryptoAPI de Microsoft Windows.
Pour ceux qui ne connaissent pas le CSP (Cryptographic Service Provider).
Je vous ai mis les liens vers les explications de la MSDN.

CryptAcquireContext
CryptCreateHash
CryptHashData
CryptDeriveKey
CryptDecrypt

- Quels sont les algorithmes utilisés (ALG_ID) ?

* CryptAcquireContext(&hCryptProv, NULL, NULL, PROV_RSA_FULL, 0)
* CryptCreateHash(hCryptProv, CALG_MD5, 0, 0, &hHash)
* CryptHashData(hHash, pbBuffer, dwBufferLen, 0)
* CryptDeriveKey(hCryptProv, CALG_RC4, hHash, 1, &hKey)

CryptDecrypt/CryptEncrypt sont utilisés pour le reste.

- Quel est le &hHash ?
C'est l'id concaténé avec une chaine hardcodée (écrite en dur dans le binaire)
Pour reprendre mon exemple, "DEADBEAF4D5241460000QQasd123zxc"

- Quels sont les ordres possibles ?
"IMAGES:", "GEO:", "LOCK:", "UNLOCK:", "URLS:"
"EXECUTE:", "KILL:", "UPGRADE:", "LOAD:", "WAIT"

- Comment fonctionne l'interprétation des ordres ?
Le bloc est d'abord déchiffré avec CryptDecrypt.
Puis les premiers bytes sont analysés, ci-dessous la "cmd=img"
0x49,0x4D,0x41,0x47,0x45,0x53,0x3A,0x39,0x63,0x3A,0x0E,0xF8,0x6A,0x2E,0xF4,0x3C
0x47,0x65,0x92,0x05,0x1E,0xFD,0x8D,0x4D,0x53,0x43,0x46,0x00,0x00,0x00,0x00,0xAF
0xB7,0x08,0x00,0x00,0x00,0x00,0x00,0x30,0x18,0x00,0x00,0x00,...

0x49,0x4D,0x41,0x47,0x45,0x53,0x3A = "IMAGES:" qui correspond à la nature de l'ordre.
En fonction de cet élément, le programme va rechercher le(s) traitement(s) approprié(s).

0x39,0x63,0x3A,0x0E,0xF8,0x6A,0x2E,0xF4,0x3C,0x47,0x65,0x92,0x05,0x1E,0xFD,0x8D
Ce hash MD5 permettra de vérifier l'intégrité du fichier envoyé.

0x4D,0x53,0x43,0x46 correspond à "MSCF" c-a-d l'header d'un fichier Microsoft Cabinet.

- Que contient l'archive .CAB ?
Les images qui seront utilisées (LoadImage) pour créer l'interface du rançongiciel.
nb: Même principe pour "cmd=geo" ; ça retourne des infos de géolocalisation IP.

Nous savons comment ça discute.. d'accord mais quel rapport avec les fichiers illisibles ?
C'était important de détailler ceci pour aborder la suite, vous allez rapidement comprendre.

- Pourquoi les fichiers sont illisibles ?
Le programme va chiffrer (CryptEncrypt) les 0x1000 premiers bytes des fichiers.
Ci-dessous, la routine en question:

Image

Pour les novices, vous pouvez observer ces deux exemples:
- Example C Program: Encrypting a File
- Example C Program: Decrypting a File

- Pourquoi des personnes arrivent à rendre lisibles certains fichiers ?
Tout va dépendre du format de fichier (structure) et des traitements logiciels associés.
Si les 4096 premiers octets ne sont pas "importants" ou peuvent être ré-écrits alors le fichier sera exploitable.

- Tous les fichiers ? Y'a t'il des exceptions (liste blanche / whitelist) ?
Oui, les répertoires "Recycled", "tmp", "temp", "Application", "Program".
Et les fichiers qui sont nommés:
"winsh", "pagefile", "winload", "osloader", "bootmgr", "ntdetect", "cache" & "ntldr".
*.inf | *.pif | *.bat | *.dat | *.sys | *.ini | *.bin | *.com | *.lnk & les *.sys

Vous l'avez observé, les fichiers chiffrés sont renommés comme ceci: "%s\locked-%s.%s"
Ainsi, le programme ne chiffrera pas à nouveau un fichier déjà chiffré.
Si vous avez compris le principe, nous avons savons comment déchiffrer.
Enfin pas tout à fait...

Notre analyse préliminaire nous laisse penser le pire.
Ce qui permet de dériver la clé est transmis au C&C.
GET /dg797FDFddd.php?id=DEADBEAF4D5241460000&cmd=lfk&data={ICI}

L'interface des cybercriminels affiche les informations de la victime (données recomposées depuis l'id (n° série du volume, le nom de l'utilisateur sur la session active et le nom de la machine) ; à partir de l'IP des victimes ils peuvent classer les machines infectées par pays, région, ... et ils ont également l'élément nécessaire au déchiffrage des fichiers. Du côté de la victime, ça devient compliqué car la variable "data=" est une "information / donnée" volatile. Si vous êtes en mesure de connaitre la variable ALORS vous avez une chance de déchiffrer vos fichiers.

Comme je vous l'ai mentionné il ne s'agit que d'une analyse préliminaire. Nous faisons actuellement vérifier cette partie par l'expert Nicolas Brulez (Kaspersky Lab). J'en profite pour remercier tous les p'tits français qui s'activent (Malekal, S!Ri, Baboon, angelique, Xylitol, Gof, Kimberly, sbz, Horgh, engil, WawaSeb, etc... ) ainsi que tous les spectres de l'ombre. Un message de sympathie à l'officier de gendarmerie Eric Freyssinet pour son blog sur les criminalités numériques ainsi que pour son projet de wiki sur les botnets. Un merci spécial à Kaféine dont les robots scan des millions d'adresses IP suspectes toutes les heures à la recherche d'exploits et de codes malveillants.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek
Geek
 
Messages: 442
Inscription: 28 Déc 2011 20:39

Re: ransomware - image cryptee

Messagepar theturn » 29 Avr 2012 09:44

Bonjour,

Est ce que tous ces experts ont pu terminer leur phase d'analyse péliminaire? Si oui, quelles sont les conclusions?

Mon offre de bouteille pour une solution tient toujours.

Bon courage!

theturn
newbie
newbie
 
Messages: 11
Inscription: 08 Avr 2012 10:10

Re: ransomware - image cryptee

Messagepar Malekal_morte » 29 Avr 2012 13:59

Désolé, il n'y aucune solution et je pense qu'il y en aura pas étant donné que l'infection n'a été présente que durant un WE.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 68015
Inscription: 10 Sep 2005 13:57

Re: ransomware - image cryptee

Messagepar marckl » 30 Avr 2012 11:56

Il semble bien qu'il y ait du nouveau pour les fichiers cryptés et renommés locked-fichier original.extension aléatoire !

Vladimir Martyanov de Dr Web m'a envoyé un lien vers un outil de decryptage
ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
Le message (en allemand) sur le site est ici :
http://news.drweb-av.de/show/?i=971&lng=de&c=7

Il faut un fichier original non crypté et le même fichier crypté. Je pense que le fichier doit faire au moins 4 ko pour que l'outil puisse analyser la partie cryptée du fichier.
Je suis entrain de tester dans sandboxie (on n'est jamais trop prudent)
Résultat : c'est tout bon. L'outil a décrypté tous les fichiers.

marckl
 
Messages: 3
Inscription: 30 Avr 2012 10:41

Re: ransomware - image cryptee

Messagepar Malekal_morte » 30 Avr 2012 13:45

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 68015
Inscription: 10 Sep 2005 13:57

Re: ransomware - image cryptee

Messagepar MaXaM Software » 30 Avr 2012 15:56

Bonjour,

J'ai fait une vidéo sur le fonctionnement du malware et la désinfection : http://www.youtube.com/watch?v=mioPpm5LQwc

Bonne journée à tous
Maxam software

MaXaM Software
 
Messages: 1
Inscription: 30 Avr 2012 15:54

Re: ransomware - image cryptee

Messagepar theturn » 02 Mai 2012 09:18

Et ça marche!
Super.
Merci

theturn
newbie
newbie
 
Messages: 11
Inscription: 08 Avr 2012 10:10

Re: ransomware - image cryptee

Messagepar Tyypak » 24 Juil 2012 13:52

Bonjour,

Le PC d'amis est infesté par ce maudit virus. J'ai effectué le scan via OTL dont voici le rapport : http://pjjoint.malekal.com/files.php?id=20120724_d11g11n11p9u6

Seriez-vous en mesure de m'aider ?

Merci d'avance,

Tyyp'

Tyypak
 
Messages: 2
Inscription: 24 Juil 2012 13:48

Re: ransomware - image cryptee

Messagepar Malekal_morte » 24 Juil 2012 18:37

Y a rien d'anormal sur ton rapport.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 68015
Inscription: 10 Sep 2005 13:57

PrécédenteSuivante

Si vous trouvez le contenu de cette page pertinente, faites +1 :

Publicité

Retourner vers VIRUS : Aide à la désinfection (vers, trojans, spywares, hijack)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

Partenaires du site : Geekeden - OxygenePC.com