[Clôt] Demande de précisions sur les rançongiciels

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Fnme1970

[Clôt] Demande de précisions sur les rançongiciels

par Fnme1970 »

Bonjour,

J'ai bien compris que les modes d'infection d'un Ransomware du type TeslaCrypt pouvaient être soit par un mail piégé soit par une exploit Web.
J'ai cependant des questions sur son mode de fonctionnement :
- existe t'il un moyen de savoir comment a eu lieu l'infection (trace dans la base de registre ou dans les logs?)
- une fois infecté comment opère le Ransomware ? Immédiatement ou au redémarrage ?
- Est-ce qu'il fonctionne une seule fois ? ou dés qu'un nouveau document est créé il chiffre à la volée ?

Merci.
ѠOOT

Re: Demande de précision sur les Ransomware

par ѠOOT »

Bonjour,

Le disque dur sur lequel le système d'exploitation est installé & la mémoire vive contiennent les informations permettant d'établir l'historique de l'incident. Il est donc important de commencer par les préserver. Une fois les images systèmes réalisées, vous pourrez débutez sereinement vos recherches. Appuyez vous sur les indicateurs de compromission (IOC) pour repérer rapidement les éléments malicieux & partant de là vous pourrez, en fonction de vos compétences, reconstruire ce puzzle. Au minimum avoir de bonnes connaissances du système d'exploitation et sur les caractéristiques du système de gestion de fichiers car rien que la présence du binaire (TeslaCrypt) va vous renseigner sur les dates de création/modification/accès/suppression/etc.. ce qui va vous amener à découvrir d'autres informations utiles comme, les dates des exécutions, sur le nombre de fois que le programme a fonctionné, sous quelles conditions,.. Donc oui, utilisez ce que vous connaissez, fichiers de ruches, fichiers des évènements, fichiers de.. mais ne les manipulez pas comme vous en avez l'habitude en tant que simple utilisateur sinon vous serez très vite limité et il vous sera impossible d'avoir une vue cohérente sur l'ensemble. Pour répondre aux autres questions, TeslaCrypt procède immédiatement au chiffrage et demeure actif jusqu'au déchiffrage suite au paiement de la rançon. Sur TeslaCrypt, la date de création du fichier recover_file_xxxxxxxxx.txt ( change en fonction des variantes ) indique à peu près le début du chiffrage et la date de l'affichage de la page des instructions ( ex: _ReCoVeRy_.HTM ) indique le moment où l'utilisateur prends connaissance de la demande de rançon.
Malekal_morte
Messages : 110259
Inscription : 10 sept. 2005 13:57

Re: Demande de précision sur les Ransomware

par Malekal_morte »

Salut,
Fnme1970 a écrit :- existe t'il un moyen de savoir comment a eu lieu l'infection (trace dans la base de registre ou dans les logs?)
Comme ѠOOT le dit, il faut des connaissances techniques, ce n'est pas simple.

Sachant que comme c'est expliqué dans les pages relatives aux ransomwares.
Deux méthodes de distributions sont utilisées : Par exemple, le Ransomware Locky, c'est que des campagnes d'emails.

Côté prévention, comme la plupart des emails renforme des Zips contenant des Trojan.JS (JavaScript), internet Windows Script Host permet de limiter la casse : Comment se protéger des scripts malicieux sur Windows.
Reste que l'utilisateur est le meilleur rempart : être vigilant.

et.. et.. et.. faire des sauvegardes des documents importants.
Fnme1970 a écrit :- une fois infecté comment opère le Ransomware ? Immédiatement ou au redémarrage du PC ?
Tout de suite. Le but c'est pas d'attendre, c'est de chiffrer le plus de documents possibles, le plus rapidement, avant que l'utilisateur/administrateur/antivirus voit quelque chose. Plus, ils font de dégâts, plus tu es susceptible de perdre des documents (en nombre ou importants), plus tu es susceptible de payer pour les récupérer.
Fnme1970 a écrit :- Est-ce qu'il fonctionne une seule fois ? ou dés qu'un nouveau document est créé il chiffre à la volée ?
Ca dépend desquels.TeslaCrypt créé une clef dans le registre pour se charger au démarrage de l'ordinateur (ainsi que les instructions de paiements) et rester ainsi sur Windows pour chiffrer tous les nouveaux documents qui y seront utilisés. Beaucoup de ransomwares font ceci.

Le Ransomware Locky, lui, ne se met pas au démarrage, il s'installe, chiffre tout ce qu'il peut et se ferme et laisse les messages d'instructions du paiements.

En espérant qu'on ait répondu à tes interrogations !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Fnme1970

Re: Demande de précision sur les Ransomware

par Fnme1970 »

Bonsoir,
et merci à tous les deux pour vos réponses rapides et complètes.
Blue_PDT_01_12
@ѠOOT j'ai effectué une sauvegarde la ram de mon ordi et téléchargé l'exemple du système miniature.Si je suis bien arrivé à lire et «un peu» à comprendre les explications et ce que je voyais pour le fichier image wizluv.e01, je n'arrive pas ouvrir le fichier généré pour la ram (en .raw).
Je pense que ce n'est ni une photo ni un fichier image. Donc comment faire pour exploiter ces données?
ѠOOT

Re: Demande de précision sur les Ransomware

par ѠOOT »

Bonjour,

À l'époque, j'avais cru bon de ne pas trop entrer dans certains détails. De plus, les outils ou moyens employés varient fortement en fonction des besoins - il existe un grand nombre d'exploitations possibles. Entre midi & deux, je vais vous rédiger rapidement quelque chose d'assez simple qui vous permettra d'aborder la question du : "Que s'est t'il passé?". Je n'entrerai pas des utilisations avancées, comme les possibilités de débogages,..

edit: Lire Exploration standard de l'antémémoire via Volatility
Fnme1970

Re: Demande de précision sur les Ransomware

par Fnme1970 »

Bonjour,

merci d'avoir pris le temps de créer une page pour expliquer comment "lire" la mémoire vive extraite. Je m'y mets ce weekend et vous ferez sans doute part de mon retour. PDT_019

Revenir à « Securite informatique »