Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Sodinokibi (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Malekal_morte
Site Admin
Site Admin
Messages : 102130
Inscription : 10 sept. 2005 13:57
Contact :

Sodinokibi (Crypto-Ransomware)

Message par Malekal_morte »

Sodinokibi est un crypto-ransomware apparu au premier trimestre 2019.
Il porte aussi le nom de ransomware REvil ou Sodin.

Il remplace le ransomware GrandCrab dont le système d'affiliation s'est arrêté.
Sodinokibi a donc très vite pris la place de ce dernier pour devenir un des ransomwares majeures.

Un article complet existe sur le site :
Le Ransomware Sodinokibi fait des dégâts

Image
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 4426
Inscription : 02 juin 2012 20:48

Re: Sodinokibi (Crypto-Ransomware)

Message par Parisien_entraide »

Source : https://www.bleepingcomputer.com/news/s ... ked-files/



Le ransomware Sodinokibi (REvil) a ajouté une nouvelle fonctionnalité qui lui permet de crypter davantage de fichiers d'une victime, même ceux qui sont ouverts et verrouillés par un autre processus.

Certaines applications, telles que la base de données ou les serveurs de messagerie, verrouillent les fichiers ouverts afin que d'autres programmes ne puissent pas les modifier. Ces verrous de fichiers empêchent les données d'être corrompues par deux processus écrivant dans un fichier en même temps.

Lorsqu'un fichier est verrouillé, cela empêche également les applications de ransomware de les chiffrer sans arrêter au préalable le processus qui a verrouillé le fichier.

Pour cette raison, de nombreuses infections de rançongiciels tentent d’arrêter les serveurs de base de données, les serveurs de messagerie et d’autres applications qui effectuent le verrouillage de fichiers avant de crypter un ordinateur.

Sodinokibi met désormais fin automatiquement aux processus de verrouillage d'un fichier
Bien que de nombreux ransomwares tentent de fermer les applications les plus courantes connues pour verrouiller des fichiers, ils ne pourront pas arrêter tout le monde.

Dans un nouveau rapport de la firme de renseignement sur la cybercriminalité Intel471 , les chercheurs ont remarqué que Sodinokibi utilise désormais l' API Windows Restart Manager pour fermer les processus ou arrêter les services Windows en gardant un fichier ouvert pendant le cryptage.


s1.jpg


Cette API a été créée par Microsoft pour faciliter l'installation des mises à jour logicielles sans effectuer de redémarrage pour libérer les fichiers que les mises à jour doivent remplacer.

«L'API du gestionnaire de redémarrage peut éliminer ou réduire le nombre de redémarrages du système requis pour terminer une installation ou une mise à jour. La raison principale pour laquelle les mises à jour logicielles nécessitent un redémarrage du système pendant une installation ou une mise à jour est que certains des fichiers mis à jour sont actuellement étant utilisé par une application ou un service en cours d'exécution. Le gestionnaire de redémarrage permet d' arrêter et de redémarrer tous les services système critiques, à l'exception des fichiers en cours d'utilisation et de terminer les opérations d'installation ", explique Microsoft dans sa documentation API .

En plus d'utiliser l'API lors du cryptage des fichiers, les développeurs de ransomware l'utilisent également dans leur décrypteur.


s2.jpg


Comme l'a noté le chercheur en sécurité Vitali Kremez , https://twitter.com/VK_Intel/status/1258747835195031553 dans REvil Decryptor v2.2, illustré ci-dessus, l'API Windows Restart Manager est utilisée pour s'assurer qu'aucun processus ne garde un fichier ouvert lorsque le décrypteur essaie de le décrypter.


s3.jpg


Sodinokibi / REvil n'est pas la première famille de ransomwares à utiliser cette API dans leurs logiciels malveillants car SamsSam et LockerGoga l' utilisent également.

Malheureusement, l'utilisation de cette API par des infections de ransomwares présente à la fois un inconvénient et un avantage.

Les victimes auront plus de facilité à décrypter les fichiers après avoir payé une rançon, mais Sodinokibi sera désormais en mesure de crypter davantage de fichiers, en particulier les fichiers critiques.
______________

Compléments

Documentation API
https://docs.microsoft.com/en-us/window ... ger-portal

Changements dans Revil (Intel 471 Malware Intelligence team)
https://blog.intel471.com/2020/05/04/ch ... rsion-2-2/

__________________

LIens :

https://www.malekal.com/ransomware-sodinokibi/

Decrypteurs : viewtopic.php?f=98&t=57145
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Répondre

Revenir à « Ransomware »