Cette année au Forum International de la Cybersécurité 2015, l'Allemagne est à l'honneur. L'occasion d'aller piocher dans les derniers échantillons en relation avec ce pays. J'ai sélectionné ce malware, détecté à 6/57 (11%), jour de son ajout à MDB. Détecté comme Win32/TrojanDownloader.Elenoocka.A chez ESET.
Ce PE 32-bit d'un poids de 31232 octets a pour icône un fax.
Un coups d'œil aux ressources, oh.. du 512 en doublon.
RCDATA : Application-defined resource (raw data). Raw data consisting of one or more integers
or strings of characters. Integers can be specified in decimal, octal, or hexadecimal format.
Après décodage, j'obtiens un second PE 32-bits d'une taille de 6 144 octets.
Compilé le lundi 19 janvier 2015 à 05:18:53, celui-ci embarque un Cabinet.
L'archive a été construite le dimanche 18 janvier 2015 à 15:04:12.
Elle contient un document RTF nommé "Reservierungsfax"
Il s'agit d'un formulaire de réservation pour le festival Britfilms.
Qu'est-ce que c'est ?
Les pages du portail d'Obenkino comportent une bannière jaune permanente.
Verdacht auf Missbrauch von Daten unserer Internetadresse! Aufgrund diverser Nachfragen zu Zahlungsaufforderungen in gefälschten E-Mails weisen wir darauf hin, dass wir keine persönlichen Daten abfragen oder Rechnungen per E-Mail versenden. Wir bitten eventuell betroffene Empfänger nicht auf etwaige E-Mails zu reagieren und nicht auf deren interne Links zu klicken (Vorsicht vor Schadsoftware).
Grosso modo, le message informe les visiteurs allemands que des arnaques et courriels frauduleux sont en circulation. "Nous n'envoyons aucune demande de paiement par courriels, n'exigeons aucune données personnelles. Nous vous demandons de ne pas répondre aux courriels reçus et de ne pas cliquer sur les liens qu'ils peuvent contenir."
Dans le cas du malware, l'affichage du document sert simplement à détourner l'attention de la victime.
Pendant ce temps, un fichier "pack.tar.gz" sera téléchargé parmi une liste de sites compromis.
→ jbmsystem.fr/jb/pack.tar.gz ( 213.186.33.3 - OVH SAS,FR )
→ maisondessources.com/assets/pack.tar.gz ( 213.186.33.19 - OVH SAS,FR )
→ pleiade.asso.fr/piwigotest/pack.tar.gz ( 213.186.33.19 - OVH SAS,FR )
→ scolapedia.org/histoiredesarts/pack.tar.gz ( 213.186.33.19 - OVH SAS,FR )
→ breteau-photographe.com/tmp/pack.tar.gz ( 213.186.33.150 - OVH SAS,FR ) // 404
→ voigt-its.de/fit/pack.tar.gz ( 188.93.8.7 - DOMAINFACTORY GmbH,DE )
Sans grande surprise, le fichier récupéré n'est pas un tarball.
Le fichier "pack.tar.gz" est immédiatement décodé et discrètement exécuté.
Au moment de l'analyse le fichier faisait un poids de 705 032 octets.
Au moment d'écrire, la taille de la ressource indique 704 520 octets.
Entêtes de la requête HTTP.
→ Last-Modified: Tue, 20 Jan 2015 08:48:45 GMT
→ Content-Length: 704520
Concrètement ça signifie que celui à qui profite le malware met à jour ses binaires.
Index of /jb
Icon Name Last modified Size Description
[DIR] Parent Directory -
[VID] Game.of.Thrones.S03E06.FRENCH.LD.HDTV.XviD-MiND.avi 16-Jan-2015 01:17 550M
[VID] Mr. Peabody and Sherman (2014).mkv 21-Aug-2014 04:59 868M
[ ] check.php 18-Jan-2015 22:47 2.3K
[ ] pack.tar.gz 20-Jan-2015 09:48 688K
[TXT] res.txt 20-Jan-2015 16:19 164
Héberger ses films piratés sur un site pro, c'est moyen mais passons.
La page "check.php" renseigne sur la date du dépôt, 18-Jan-2015 à 22:47.
Le fichier "pack.tar.gz" décodé n'est autre qu'un PE 32-bits.
L'icône est un smiley aux yeux remplacés par des cœurs.
À nouveau, une ressource inconnue de 657 408 octets.
Ce bloc de données encodé n'est autre qu'un ... énième PE 32-bits.
Déobfusqué et dépacké, le rançongiciel chiffreur CTB-Locker apparait.
De suite, je remarque les messages en quatre langues différentes.
Ihre persönlichen Dateien sind von CTB-Locker verschlüsselt.
I tuoi dati personali sono criptati da CTB-Locker.
Je persoonlijke bestanden zijn versleuteld met CTB-Locker.
Your personal files are encrypted by CTB-Locker.
Ci dessous, deux exemples de squelettes de pages HTML.
→Page d'actualité CTB Locker
→Fiche désinfection CTB-Locker
→Page CTB Locker de Bleeping Computer.
# UPDATE ~ 20 January 2015 # New variant adds new language localization options in the malware program. CTB-Locker now has localized text in German, Italian, Dutch, and English. This variant also extends the ransom timer to 96 hours.
On constate donc que ce rançongiciel chiffreur continue de se peaufiner avec le temps.
PS: Merci à l'amie Berlinoise pour ses éclaircissements culturels et rapides traductions!
edit: Ajouts de liens hypertextes vers nouvelles publications.
➱ ( 21 Jan 2015 ) ❴ CTB-Locker: Multilingual Malware Demands Ransom ❵
➱ ( 21 Jan 2015 ) ❴ The Rise of Backdoor-FCKQ (CTB-Locker) ❵
➱ ( 21 Jan 2015 ) ❴ CTB-Locker se propage via la messagerie ❵
➱ ( 21 Jan 2015 ) ❴ CTB-Locker Ransomware Includes Freemium Feature, Extends Deadline ❵
➱ ( 12 Feb 2015 ) ❴ CTB-Locker Spoofs Chrome & Facebook Emails as Lures, Linked to Phishing ❵
edit: Ajouts de liens connexes.