crypto-ransomware / rançongiciels chiffreurs de fichiers

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

crypto-ransomware / rançongiciels chiffreurs de fichiers

Message par Malekal_morte » 18 nov. 2014 14:31

Les crypto-ransomwares ou rançongiciels chiffreurs de fichiers en bon français sont apparus vers la fin de l'année 2010 et ont été massivement diffusés après l'abandon en 2015 des ransomwares WinLocker : "virus gendarmerie" / "Fake Police" ( populaires entre 2011 et 2014 ) qui bloquaient l'utilisation de Microsoft Windows en se faisant passer pour des services gouvernementaux.

Voici quelques familles courantes de ces crypto-ransomwares : Cryptowall, TeslaCrypt, CTB-Locker, OMG! Ransomware, Locky Ransomware, TeslaCrypt, CoinVault. et bien d'autres clones.

Les différents rançongiciels dans le temps...

Image
Image

(source Ransomware: Past, Present, and Future et endgame.com)

Actuellement les plus actives, en France, sont : La France est le 7e pays le plus touché, les USA sont loin devant. (source The 5Ws and 1H of Ransomware (Microsoft)
Attaques_ransomware_par_pays.png
Attaque Ransomwares par pays
Attaques_ransomware_par_pays.png (6.86 Kio) Consulté 8160 fois
Ransomware_panel_map.png
Ransomware panel
Les détections antivirus correspondantes à ces menaces sont : Trojan.Ransom ou Trojan/FileCoder.

Image

Même chose chez AVG, avec Cheval de Troie : FileCryptor

Image

ou encore Ransom.FileLocker

Image

Principe et fonctionnement des crypto-ransomwares

Le principe des rançongiciels de fichiers est de prendre en otage vos fichiers en les chiffrant et de vous demander une rançon pour les récupérer. Le premier rançongiciel a été découvert en 1989, il se nommait "AIDS MALWARE". Ceci dit, on considère l'année 2004 comme l'année charnière avec l'arrivée de GPCode.

Image

Image

Il a continué à se perfectionner. Fin 2011, ce sont les ransomware "Fake Police / Virus Gendarmerie" qui sont apparus, ces derniers ne chiffraient pas les documents mais bloquaient ( locker ) l'accès à l'ordinateur. Mi-2012, certains "Fake Police / Virus Gendarmerie" ont intégré des fonctionnalités permettant de chiffrer des fichiers.

Voici quelques captures d'écran de ces rançongiciels : Image

2014 a été le tournant pour les rançongiciels chiffreurs de fichiers, ils ont littéralement envahi le monde avec l'apparition de diverses familles : Cryptolocker, Cryptowall, TorrentLocker etc.

Les groupes criminels sont en concurrence et doivent sans cesse innover, inventer de nouvelles méthodes, diffuser de nouvelles familles, de nouvelles versions.. pour infecter un maximum de Windows afin de gagner rapidement un maximum d'argent. Comme pour les rogues/scarewares et virus gendarmerie, une famille pourra utiliser des noms différents dans le temps, mais le malware au final, restera le même.

OMG! Ransomware :
Image

CointVault :
Image

CTB-Locker :
Image

CryptoWall :
Image

TeslaCrypt :
Image

TorrentLocker et CryptoFortress

Image

Ransomware fud@india.com qui fait partie de la famille de Crypto-Ransomware "virus encoder"

Image

CryptoLocker

Image


etc.

Notez que le site ID Ransomware permet d'idenfier la variante du ransomware qui vous a attaqué.

Image

Au départ, les crypto-ransomwares avaient tendance à modifier les extensions de fichiers, certaines extensions sont caractéristiques du ransomware rencontré. Par exemple, CTB-Locker ajoute une extension de 7 caractères aléatoires :

Image

Une vidéo d'un Crypto-Ransomware en action :



Début 2016, des Ransomware JavaScript sont aussi apparus comme Ransom32 ou Ransomware RRA.

Image



Principe du chiffrement (cryptage en abus de langage) des ransomwares
D'un point de vu non-technique, pour simplifier, ces crypto-ransomwares fonctionnent en général avec une clé publique et une clé privée. Le schéma du principe de la cryptographie asymétrique est assez bien expliqué sur la page Wikipedia.

Le malware chiffre les fichiers avec une clef publique et seuls les criminels peuvent les déchiffrer en utilisant la clef privée en leur possession. C'est pour cela, que dans les messages, il y a toujours un identifiant qui est fourni et qui contient en général la clef publique. Si la clef privée est une clef RSA-2048, il est actuellement impossible pour nos petits ordinateurs de décrypter les fichiers par des attaques de type "bruteforce" ( c'est à dire, tenter toutes les combinaisons jusqu'à trouver la bonne )

Image

Certains ransomware chiffreurs de fichiers font bien pire, par exemple : Ransomware pirated software has been detected bloque Windows et prétend chiffrer les documents. En réalité, il écrase les documents existants par une copie de lui même, dès lors, il n'y a aucun moyen prévu du côté des auteurs pour rétablir les fichiers.

Image

Enfin cas spécial avec Petya Ransomware, un Ransomware MBR qui chiffre les partitions du disque.
Voir : Fiche Petya Ransomware et en vidéo :



"Standard" de fonctionnement des rançongiciel / crypto-ransomware

Un genre de standard des crypto-ransomware apparait au fil des variantes avec :
  • la suppression des versions précédentes de fichiers (souvent via Vssadmin) afin de ne pas pouvoir restaurer les fichiers. Parfois, cela fonctionne avec Shadow Explorer.
  • L'ouverture d'un fichier texte et image contenant les instructions de paiements, certains positionnent ces instructions dans chaque dossier et à l'ouverture de la session. D'autres crypto-ransomware modifie le fond d'écran en incrustant ces instructions de paiements.
  • Le paiement se fait en monnaie Bitcoin souvent à travers un site WEB hébergé sur le réseau TOR
Pour donner un ordre d'idée, la fréquentation du réseau TOR a explosé après le lance de la campagne du Crypto-Ransomware Locky

Image

Méthodes de propagation des crypto-ransomwares

Les méthodes de propagation pour infecter les Windows sont les mêmes que les malwares classiques. Deux méthodes principales ressortent par le nombre de victimes : d'un côté les campagnes de courriels malicieux et de l'autre l'utilisation de kits d'exploitation de vulnérabilités déposés sur des sites WEB.
Concernant les campagnes d'emails malicieux, reportez-vous à l'actualité : JS/TrojanDownloader.Nemucod : Ransomware

Image

Image

Désactiver Windows Scripting Host permet de se protéger en partie de ces attaques : Comment se protéger des scripts malicieux sur Windows

Marmiton vous protège des scripts malicieux :
Image

Si la majorité des campagnes sont en langue anglaise et utilisent des services anglophones, certaines campagnes peuvent être en Français, se reporter à la page : Stealer : Spam malicieux en français.
Les campagnes d'emails malicieux sont faciles à mettre en place et ne coûtent pas cher et sont très efficaces, en témoigne les résultats de TeslaCrypt en Décembre 2015.

Les exploits sur sites WEB permettent d'infecter un terminal ( un ordinateur, une tablette, un smartphone, ... ) de manière automatisée à la simple visite d'une page WEB sur un site qui généralement a été préalablement détourné. Si le système d'exploitation et les logiciels installés ( Java, Adobe Flash, Adobe Reader, .. etc) ne sont pas correctement à jour, ils sont potentiellement vulnérables et peuvent exécuter silencieusement un code malveillant à votre insu. Le fait de surfer avec un compte "Administrateur" et de ne pas avoir ses logiciels à jour augmente considérablement les risques d'être infecté. Exemples avec les Exploits Java

Il faut veiller à maintenir ses logiciels à jour afin de limiter au maximum les portes d'entrée sur le système. Tant que les logiciels ne sont pas à jour, Windows est vulnérable et les infections peuvent s'installer très facilement. Pour accomplir cette tâche sans y passer des journées, lire : Comment maintenir ses programmes à jour.

Exemple d'une infection CryptXXX par la simple visite d"un site piraté (Google prévient du danger).
Les PC vulnérables aux WEB Exploit se verront infectés, à moins que l'ordinateur puisse en protéger :



Quatre particularités :


Le mode de diffusion du Ransomware Spora se fait en pirate des sites internet et en affichant un faux message d'erreur de police Chrome (font Chrome) :



Quelques chiffres de l'année 2015 provenant du bulletin Kaspersky 2015

Le nombre de Trojan.Ransom bloqué par Kaspersky :
Image

L'augmentation du nombre de malware Ransomware :

Image

Nombre d’utilisateurs attaqués par des malwares de chiffrement :

Image

Kaspersky a fait une résumé en graphique :
Kaspersky_ransomwares.jpg
Ransomware - Kaspersky
Récupération des documents chiffrés par un ransomware/rançongiciel

Contrairement donc, si vous ouvrez un email malicieux, le Crypto-Ransomware est téléchargé et exécuté sur l'ordinateur.
Tous les documents contenus dans :
  • Les disques locaux et amovibles (clefs USB, disque dur externe) branchés seront chiffrés
  • Les ressources réseaux accessibles : lecteur réseau, UNC etc
Le but 'est de chiffrer le plus de documents possibles, le plus rapidement, avant que l'utilisateur/administrateur/antivirus voit quelque chose.
Plus, ils font de dégâts, plus l'utilisateur est susceptible de perdre des documents (en nombre ou importants), plus l'utilisateur est suceptible de payer pour les récupérer.

Certains Crypto-Ransomware, se positionnent au démarrage de Windows, comme tout Trojan classique, ainsi tout document qui passera sur l'ordinateur sera à nouveau chiffré.
D'autres Ransomware comme Locky ne se mettent pas au démarrage de Windows.

Des outils spécifiques de récupération existent visant certains familles et versions de ransomwares.
La page suivante liste tous les "Decrypt Tools" : Outils de décryptage (Decrypt Tools Ransomware)

Cas des programmes spécifiques

Comme expliqué dans le paragraphe précédent, il est techniquement très difficile à ce jour de déchiffrer les documents dans le cas d'utilisation de clef public RSA 2048 bits et des documents chiffrés en AES.

Comment expliquer que des outils de décryptages sont apparus ?

Premier cas, les auteurs de malwares ont fait des erreurs dans l'implémentation ( comprendre, l'utilisation ) de l'algorithme de chiffrement ce qui engendre des faiblesses exploitables. C'est le cas de Trojan.Trustezeb / Trojan/Matsnu, le laboratoire Kaskerspy & Dr.Web avaient pu sortir des outils pour récupérer les fichiers chiffrés. Malheureusement, les faiblesses sont vites comblées dès que ces outils sont publiés.

C'est aussi ce qui s'était passé avec CryptoDefense, la version antérieure à CryptoWall. En Février 2014, des chercheurs ont découverts que les auteurs avaient fait une erreur de programmation et que la clef était bien inférieure aux 1024 bits annoncés et c'est ce qui a permis de créer un script python pour décrypter les documents

Quelques temps après, Crypto-Defense est devenu CryptoWall et la clef employée est désormais de 2048 bits. En août, certains pirates ont été arrêtés et il y a eu des saisies de serveurs. Un service de déchiffrement de fichiers CryptoWall a pu être mis en place suite à la récupération des base de données contenant les clefs privées des criminels. Si la clef utilisée se trouve dans la base, vous pourrez déchiffrer vos documents.

Même type d'erreur avec la variante TorrentLocker, il a été possible de décrypter les fichiers. Concrètement, si des outils apparaissent, c'est souvent grâce aux petites erreurs commises par les auteurs de rançongiciels. Il arrive que des clones de ransomwares ( "copycats" ) utilise des méthodes de chiffrages pas très orthodoxes, comme par exemple : Ransomware : attention à l'intégrité de certains de vos fichiers.

Décembre 2016, une procédure de récupération des documents est aussi possible pour une vague du ransomware TeslaCrypt extension .vvv. Cela a été possible, premièrement parce que clef publique n'était pas chiffré, elle apparaissait en clair en début du document chiffré. Ensuite parce que le chiffrement du document était du RSA, une attaque par factorisation était alors possible. Par la suite, une nouvelle mise à jour du ransomware TeslaCrypt est apparu (extension .ttt, .micro et .mp3), cette fois-ci la récupération est impossible puisque la clef publique est chiffré en RSA et les documents en AES.

Image

Versions précédentes et logiciels de récupérations de fichiers effacés

Pour les possesseurs de versions Windows Vista et supérieures, vous pouvez tenter de restaurer les versions précédentes -
Tentez avec Shadow Explorer
A lire, la récupération avec le ransomware RSA-2048 Locky : Ransomware et récupération de fichiers.

Bien entendu, le malware/virus peut empêcher la création de ces derniers ou vider le contenu. Vous pouvez aussi tenter des logiciels de récupération comme PhotoRec mais là encore, c'est sans résultat garanti..

Malheureusement, les ransomwares ont vite ajouté la suppression des "versions précédentes" avant de chiffrer les documents, donc cela ne devrait pas fonctionner.... sauf si vous êtes chanceux et que la suppression des versions précédentes n'a pas fonctionnée.

Conclusion

Vous l'aurez compris, ces rançongiciels chiffreurs sont de sérieuses menaces pour vos données ! Et ça n'arrive pas qu'aux ordinateurs personnels. Les rançongiciels évoluent tous les jours, aujourd'hui par exemple, vos fichiers hébergés sur des services cloud (DropBox) ne sont plus forcément à l'abri. On ne le répètera donc jamais assez : faites régulièrement et sur différents supports de stockage des sauvegardes de vos fichiers les plus importants ( documents, photos, vidéos, ... ) et parfois irremplaçables ( souvenirs )
Pièces jointes
Ransomware_panel_map.png
Carte des ransomwares par Microsoft
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: ransomware/rançongiciels chiffreurs de fichiers

Message par Malekal_morte » 09 déc. 2015 21:58

Les grosses actualités et faits marquants autour des crypto-ransomwares depuis fin 2015.

Fin 2015

Novembre 2015 :

CryptoWall débarque en version 4.0

Linux.Encoder.1 : premier ransomware pour Linux : le but étant de chiffrer les sites WEB.

Décembre 2015 :

TeslaCrypt fait pas mal de dégâts par des campagnes de mails malicieux au format .JS (JavaScript).

Récapitulatif des campagnes TeslaCrypt Décembre 2015 :
how_recover : TeslaCrypt extension .vvv.

=> Actualité : TeslaCrypt Ransomware - fichiers en extensions .ccc et .vvv.

Liens de désinfection TeslaCrypt - extensions .vvv Procédure de récupération des fichiers extensions .vvv Image

Image

Début 2016

Janvier 2016 :

Les campagnes TeslaCrypt perdurent, une nouvelle version du crypto-ransomware est sortie, la récupération des documents par des attaques par factorisation n'est plus possible.
(extension .micro / extension .mp3).

février 2016 :

Locky fait son apparition avec une première campagne de courriels malicieux le 16 février 2016.

Image

mars 2016 :

Lancement du portail Ransomware Tracker

KeRanger débarque sur les OS X d'Apple.
Le Ransomware Locky continue de faire des ravages, TeslaCrypt est encore assez actif.

En 2016, pas un jour ne passe sans victimes de rançons informatiques.

http://www.sudouest.fr/2016/04/21/bearn ... 3-4344.php
http://www.sudouest.fr/2016/05/11/des-h ... 4-3827.php

La Gendarmerie Nationale communique ses messages de prévention avec des images.

Les conseils indiqués tombent sous le sens :
- Je vérifie l'origine des messages électroniques
- J'ouvre les pièces jointes seulement lorsque je connais l'expéditeur
- En cas de doute, je supprime le message !
- Je ne procède à aucun paiement Je prends contact immédiatement avec les forces de l'ordre

Image
nb: Dans ce contexte, "hackers" désigne les "cybercriminels"

Avril 2016 :

Sortie du Ransomware CryptXXX : Ransomware RSA4096 par la team Reveton, il faut donc s'attendre à forte distribution.

Mai 2016 :

TeslaCrypt est dead, le développeur a jeté l'éponge et a publié la clef privée.
Cela permet de récupérer les fichiers.

Probablement que la sortie de CryptXXX y est pour quelque chose.
Il faut s'attendre à ce que CryptXX : Ransomware RSA4096 et Locky reste les deux ransomwares majeurs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

The rise of ransomware over the past year is a problem

Message par ѠOOT » 14 avr. 2016 20:07

Les principales découvertes de rançongiciels sur une échelle temps.
Ransomware_timeline.jpg
Ransomware Timeline
Ransomware: Past, Present, and Future


Le premier rançongiciel a été découvert en 1989, il se nommait "AIDS MALWARE".
Ransomware-infographic-v5-REVERSE.jpg
The Rise of Ransomware : 30 active malware families
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité