Quelques mots sur le sujet de Malekal_morte : Cryptorbit – Howdecrypt.txt : à la recherche du sample perdu.
Design sobre, épuré. En haut, le titre "cryptorbit" en rouge avec en dessous le message YOUR PERSONAL FILES ARE ENCRYPTED également rouge sur fond jaune. Sur la droite l'image d'un cadenas ouvert et sur la gauche sur fond blanc le mode d'emploi pour retrouver ses fichiers. Le texte comporte des mots soulignés en gras. La victime doit se rendre sur une adresse située sur le réseau TOR. Le contenu de la page :
"We are present a special software - CRYPTORBIT DECRYPTOR - which is allow to decrypt and return control to all your encrypted files. We accept payment in Bitcoin. Current price is 0.5 BTC (it's about ~400 $ USD)."
How to buy CRYPTORBIT decryptor?
1. First, you should register Bitcon wallet ( click here for more information with pictures )
2. Purchasing Bitcoins - Although it's not yet easy to buy bitcoins, it's getting simpler every day. Here are our recommendations:
- LocalBitcoins.com - This fantastic service allows you to search for people in your community willing to sell bitcoins to you directly.
- How To Buy Bitcoins - An international directory of bitcoin exchanges.
- Cash Into Coins - Recommended for fast, simple service.
- Coinbase - Bitcoin exchange based in the United States. (Highly rated).
- BitStamp - A multi currency bitcoin exchange based in Slovenia. (Highly rated).
- MtGox - A multi currency bitcoin exchange based in Japan
- CoinJar - CoinJar allows direct bitcoin purchases on their site. They're based in Australia but serve an international clientele.
3. Transfer 0.5 BTC to our wallet: **compte**
4. Complete the form below and click Submit.
5. Within 24 hours you will receive email containing archive with CRYPTORBIT decryptor. Simply run decryptor and wait until decryption proccess finished. After this operation is finished all your files will be decrypted.
Please, submit this form only after successful payment.
Note: Personal Code - you can find in HOWDECRYPT.txt file.
Malgré la complexité des opérations, la page est extrêmement claire.
La victime doit suivre 5 étapes détaillées afin de déchiffrer ses fichiers.
Portefeuilles des attaquants mentionnés à l'adresse 4SFXCTGP53IMLVZK.ONION
⛀ 17FSkXDULjtK6R9G3cpwmLMYbWRZJ9c8vZ
⛀ 18yP3oKzeqChWCYG2ZGPcBhMQBiXFeR2GF
⛀ 15JTKDkU4U6Tn5MBc9Pt52mMzXDmvmaanR
⛀ 1KZvxpPzvkSCqm3VTffWBWcLumWK1KJfkK
⛀ 1H6jc6Mz535zTts6DWdeJf3HdH4owGjsXo
La somme des comptes pour ce nœud tourne autour d'~3 700 € de gains.
Information à prendre avec des pincettes : un indicateur, ni plus ni moins.
La page PHP a été développée en langue slave : visiblement en polonais.
La victime paye la rançon et valide sa demande d'obtention du "decryptor".
Elle réceptionnera ensuite un courriel anonymisé via remailers contenant:
- Une archive au format 7zip compressée et chiffrée ( LZMA 7zAES )
- Le code d'extraction de l'archive protégée par un mot de passe.
Nous avons été en mesure d'obtenir un déchiffreur. Lorsqu'il est exécuté, celui-ci affiche simplement un message "Decryption in progress. Please don't close this window. After decrypting window will close automatically". La victime doit patienter le temps de rechercher et de déchiffrer tous les fichiers. L'outil "decryptor" est léger ( un poids d'~60 ko ) : une seule section, aucun import,... c'est optimisé, le développeur n'est pas un bleu mais une personne expérimentée.
Quand Malekal a rédigé son article, combien de publications techniques avaient été publiées chez des éditeurs antivirus concernant Cryptorbit ? Réponse : 0 Pourtant ce n'est pas nouveau dans l'histoire, il y a eu des GPCode et dernièrement des CryptoLocker qui ont beaucoup fait couler d'encre. Ce profond silence traduit peut-être un malaise : what the hell is going on !? Pas mal d'inconnues planent autour de Cryptorbit.
Les échantillons sont difficiles à collecter car en ce qui nous concerne, nous ignorons comment Cryptorbit arrive sur les machines des victimes, bien qu'il y ait quelques pistes... Ces individus combinent plusieurs techniques, ils utilisent le réseau TOR , ainsi que le THS , les courriels anonymisés , les crypto-monnaies , ...
Même si à peine 5% des victimes règlent les rançons aux montants exorbitants, l'activité demeure rentable. D'autant qu'il ne faut pas oublier que dans certains pays 400$ équivaut à une vraie fortune. Sauf renversement de vapeur, il faut s'attendre à ce que les rançongiciels / chiffreurs augmentent en terme de volumes et qu'ils se perfectionnent progressivement.
Recommandations:
☛ Réalisez régulièrement des sauvegardes de vos données les plus importantes.
☛ Ne les stockez pas sur un périphérique continuellement relié à la machine.
☛ Si la machine est infectée, nettoyez la bien, avant de manipuler vos fichiers.
☛ Ne branchez aucun support de stockage sur une machine encore infectée.
☛ Vos machines et/ou réseaux nettoyés, changez bien tous vos identifiants.
