[Clôt] Demande de précisions sur les rançongiciels

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Fnme1970
Messages : 4
Inscription : 04 mars 2016 18:43

[Clôt] Demande de précisions sur les rançongiciels

Message par Fnme1970 » 06 mars 2016 15:28

Bonjour,

J'ai bien compris que les modes d'infection d'un Ransomware du type TeslaCrypt pouvaient être soit par un mail piégé soit par une exploit Web.
J'ai cependant des questions sur son mode de fonctionnement :
- existe t'il un moyen de savoir comment a eu lieu l'infection (trace dans la base de registre ou dans les logs?)
- une fois infecté comment opère le Ransomware ? Immédiatement ou au redémarrage ?
- Est-ce qu'il fonctionne une seule fois ? ou dés qu'un nouveau document est créé il chiffre à la volée ?

Merci.




Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Demande de précision sur les Ransomware

Message par ѠOOT » 06 mars 2016 17:36

Bonjour,

Le disque dur sur lequel le système d'exploitation est installé & la mémoire vive contiennent les informations permettant d'établir l'historique de l'incident. Il est donc important de commencer par les préserver. Une fois les images systèmes réalisées, vous pourrez débutez sereinement vos recherches. Appuyez vous sur les indicateurs de compromission (IOC) pour repérer rapidement les éléments malicieux & partant de là vous pourrez, en fonction de vos compétences, reconstruire ce puzzle. Au minimum avoir de bonnes connaissances du système d'exploitation et sur les caractéristiques du système de gestion de fichiers car rien que la présence du binaire (TeslaCrypt) va vous renseigner sur les dates de création/modification/accès/suppression/etc.. ce qui va vous amener à découvrir d'autres informations utiles comme, les dates des exécutions, sur le nombre de fois que le programme a fonctionné, sous quelles conditions,.. Donc oui, utilisez ce que vous connaissez, fichiers de ruches, fichiers des évènements, fichiers de.. mais ne les manipulez pas comme vous en avez l'habitude en tant que simple utilisateur sinon vous serez très vite limité et il vous sera impossible d'avoir une vue cohérente sur l'ensemble. Pour répondre aux autres questions, TeslaCrypt procède immédiatement au chiffrage et demeure actif jusqu'au déchiffrage suite au paiement de la rançon. Sur TeslaCrypt, la date de création du fichier recover_file_xxxxxxxxx.txt ( change en fonction des variantes ) indique à peu près le début du chiffrage et la date de l'affichage de la page des instructions ( ex: _ReCoVeRy_.HTM ) indique le moment où l'utilisateur prends connaissance de la demande de rançon.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95116
Inscription : 10 sept. 2005 13:57
Contact :

Re: Demande de précision sur les Ransomware

Message par Malekal_morte » 07 mars 2016 20:00

Salut,
Fnme1970 a écrit :- existe t'il un moyen de savoir comment a eu lieu l'infection (trace dans la base de registre ou dans les logs?)
Comme ѠOOT le dit, il faut des connaissances techniques, ce n'est pas simple.

Sachant que comme c'est expliqué dans les pages relatives aux ransomwares.
Deux méthodes de distributions sont utilisées : Par exemple, le Ransomware Locky, c'est que des campagnes d'emails.

Côté prévention, comme la plupart des emails renforme des Zips contenant des Trojan.JS (JavaScript), internet Windows Script Host permet de limiter la casse : Comment se protéger des scripts malicieux sur Windows.
Reste que l'utilisateur est le meilleur rempart : être vigilant.

et.. et.. et.. faire des sauvegardes des documents importants.
Fnme1970 a écrit :- une fois infecté comment opère le Ransomware ? Immédiatement ou au redémarrage du PC ?
Tout de suite. Le but c'est pas d'attendre, c'est de chiffrer le plus de documents possibles, le plus rapidement, avant que l'utilisateur/administrateur/antivirus voit quelque chose. Plus, ils font de dégâts, plus tu es susceptible de perdre des documents (en nombre ou importants), plus tu es susceptible de payer pour les récupérer.
Fnme1970 a écrit :- Est-ce qu'il fonctionne une seule fois ? ou dés qu'un nouveau document est créé il chiffre à la volée ?
Ca dépend desquels.TeslaCrypt créé une clef dans le registre pour se charger au démarrage de l'ordinateur (ainsi que les instructions de paiements) et rester ainsi sur Windows pour chiffrer tous les nouveaux documents qui y seront utilisés. Beaucoup de ransomwares font ceci.

Le Ransomware Locky, lui, ne se met pas au démarrage, il s'installe, chiffre tout ce qu'il peut et se ferme et laisse les messages d'instructions du paiements.

En espérant qu'on ait répondu à tes interrogations !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Fnme1970
Messages : 4
Inscription : 04 mars 2016 18:43

Re: Demande de précision sur les Ransomware

Message par Fnme1970 » 07 mars 2016 22:00

Bonsoir,
et merci à tous les deux pour vos réponses rapides et complètes.
Blue_PDT_01_12
@ѠOOT j'ai effectué une sauvegarde la ram de mon ordi et téléchargé l'exemple du système miniature.Si je suis bien arrivé à lire et «un peu» à comprendre les explications et ce que je voyais pour le fichier image wizluv.e01, je n'arrive pas ouvrir le fichier généré pour la ram (en .raw).
Je pense que ce n'est ni une photo ni un fichier image. Donc comment faire pour exploiter ces données?

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Demande de précision sur les Ransomware

Message par ѠOOT » 08 mars 2016 12:43

Bonjour,

À l'époque, j'avais cru bon de ne pas trop entrer dans certains détails. De plus, les outils ou moyens employés varient fortement en fonction des besoins - il existe un grand nombre d'exploitations possibles. Entre midi & deux, je vais vous rédiger rapidement quelque chose d'assez simple qui vous permettra d'aborder la question du : "Que s'est t'il passé?". Je n'entrerai pas des utilisations avancées, comme les possibilités de débogages,..

edit: Lire Exploration standard de l'antémémoire via Volatility
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Avatar de l’utilisateur
Fnme1970
Messages : 4
Inscription : 04 mars 2016 18:43

Re: Demande de précision sur les Ransomware

Message par Fnme1970 » 09 mars 2016 19:49

Bonjour,

merci d'avoir pris le temps de créer une page pour expliquer comment "lire" la mémoire vive extraite. Je m'y mets ce weekend et vous ferez sans doute part de mon retour. PDT_019


Répondre

Revenir vers « Securite informatique »