Tout savoir sur le ransomware

Tout savoir sur le ransomware (rançongiciel)

Une menace grandissante et mal connue des entreprises

Le « ransomware » fait actuellement des ravages dans les systèmes d’information des entreprises. Ces logiciels malveillants bloquent les ordinateurs des victimes et réclament ensuite le paiement d’une « rançon » pour leur déverouillage.
A ce jour, la dernière attaque ‘Locky’ est l’une des plus importantes jamais enregistrées. Et le phénomène ira en s’amplifiant.
Parmi les victimes observées et médiatisées : laboratoires d’analyses, hôpitaux, PME diverses, établissements publics, ou encore le ministère des transports.

Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

Un ransomware peut aussi bloquer l’accès de tout utilisateur à une machine jusqu’à ce qu’une clé ou un outil de débridage soit envoyé à la victime en échange d’une somme d’argent. Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d’attaques de ce type a grandement augmenté dans d’autres pays, entre autres l’Australie, l’Allemagne, les États-Unis.

Le principe même est de crypter (chiffrer) les données via une clé publique et de demander une rançon en contrepartie de la clé privé qui permettra de décrypter nos propres fichiers.

Les vecteurs d’infections les plus courants à l’heure actuelle sont les SPAM ciblés en utilisant une technique de « social engineering »

L’ingénierie sociale (ou social engineering en anglais) est une forme d’acquisition déloyale d’information et d’escroquerie, utilisée en informatique pour obtenir d’autrui, un bien, un service ou des informations clefs. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l’imposture ou le culot, l’attaquant abuse de la confiance, de l’ignorance ou de la crédulité des personnes possédant ce qu’il tente d’obtenir.

En cela, la discipline et la « bonne éducation » des utilisateurs au sein des entreprises sont le meilleur moyen de se protéger de ce type d’attaque.

Le second mode d’infection – bien moins fréquent – est de type « exploits » qui comme son nom l’indique est une exploitation d’une faille informatique pour pénétrer les systèmes et réseaux. (On parlera ici de « remote exploit », soit une attaque à distance).

I/ LE SPAM

RAA (JS/Ransom-DDL)

Début 2016, beaucoup de cybercriminels ont de plus en plus fait évoluer leurs stratégies d’infection du fait de la prise de conscience générale que l’activation des macros était devenue vraiment une mauvais idée.

De nos jours, beaucoup de ransomwares arrivent intégrés au sein de pièces jointes en JavaSript.

Dans le cas où vous vous demanderiez pourquoi quelqu’un ouvrirait un fichier .JS qui prétendrait être un document, rappelez-vous juste la chose suivante :

  • Windows n’affiche pas les extensions par défaut. 
    Ainsi un fichier dénommé txt.js s’affichera en réalité ainsi : Invoice.txt, prenant ainsi un aspect plus rassurant.
  • Windows utilise des logos ambigus pour indiquer qu’il s’agit d’un fichier.
    les scripts apparaissent avec une icône ressemblant à un parchemin, donnant l’impression qu’il s’agit d’un document plutôt que d’un programme (voir ci-dessous).

Habituellement, le JavaScript malveillant se connecte à un serveur de téléchargement, recherche le véritable ransomware sous la forme d’un programme exécutable Windows (un fichier .EXE), et le lance pour finaliser le processus d’infection.

JavaScript à 100%

Cependant, JS/Ransom-DDL utilise encore une autre technique.

Le JavaScript ne télécharge pas le ransomware, il est lui-même un ransomware.

Ceci est rendu possible car :

  • JavaScript est un langage de programmation généraliste.
    Il peut être utilisé pour le plus modeste des scripts jusqu’à l’application la plus complète.
  • Sous Windows, les fichiers JavaScript hors de votre navigateur sont lancés en utilisant WSH.
    Ceci ne limite pas ni ne «sandbox» le code du script, ainsi il peut faire tout ce qu’une application classique peut faire.
  • Les cybercriminels utilisent des codes sources de chiffrement disponibles gratuitement au sein de leurs malwares.
    Ceci rend l’implantation beaucoup plus facile, car le travail de programmation a déjà été effectué.

Aucun logiciel additionnel n’est téléchargé, ainsi une fois que le malware JS/Ransom-DDL est entré au sein de votre réseau, il est prêt à chiffrer toutes vos données et à afficher un message pour vous faire payer, et tout ceci de manière autonome.

Lorsqu’il est en action, il ouvre un fichier dans WordPad pour détourner votre attention.

Ce fichier leurre, en quelque sorte, contient un message d’erreur qui est supposé vous convaincre que le fichier que vous venez d’ouvrir est vraiment un document, et détourne par la même occasion votre attention pendant que le ransomware travaille.

Error! Error code (0034832)
Ce document a été créé dans une version récente de MS Word et ne peut être ouverte avec votre version actuelle de WordPad.
Contactez le créateur du fichier, ou ouvrez le fichier avec MS Word 2013.
Certaines parties du contenu en question peut ne pas s’afficher correctement.

Le payload

A proprement parler, ce ransomware n’est pas entièrement autonome : comme beaucoup d’autres familles de ransomwares, il effectue tout d’abord un « call home » auprès d’un serveur exploité par les cybercriminels eux-mêmes afin d’obtenir les clés de chiffrement.

Le serveur répond avec une identifiant unique et fourni une clé de chiffrement aléatoire AES, afin d’empêcher que les victimes ne partagent cette dernière entre eux.

Si vos données se retrouvent chiffrées, vous avez besoin de mentionner votre identifiant personnel et d’acheter la clé AES correspondante pour récupérer vos données.

La clé AES téléchargée par le JavaScript malveillant n’est pas conservée en mémoire, ainsi une fois que le chiffrement est terminé, et que le programme JavaScript existe, les cybercriminels ont en leur possession la seule copie de la clé.

Une fois cette phase de chiffrement achevée, vous allez découvrir une page README vous indiquant la marche à suivre pour acheter la clé qui vous permettra de récupérer vos données.
Vous n’avez pas besoin de comprendre le russe pour comprendre que le prix à payer est à peu près de 250$. Les cybercriminels vous suggèrent également (point N°2) de déchiffrer quelques fichiers avant de payer afin de vous prouver qu’ils sont vraiment en possession de la clé en question, même s’ils ne vous expliquent pas clairement comment vous êtes supposés leur envoyer les fichiers à tester.

***ATTENTION!***
Vos fichiers ont été chiffrés par le malware RAA.
L’algorithme AES-256 a été utilisé pour le chiffrement, la même technique de chiffrement utilisée pour protéger les secrets d’Etat.
Cela signifie que la récupération de vos données est possible seulement en achetant la clé auprès de nous.
Acheter la clé est la solution la plus simple !

Et ce n’est pas tout…

JS/Ransom-DDL est assez diffèrent des autres ransomwares car il installe de façon délibérée une deuxième infection par malware : un voleur de mots de passe bloqué par Sophos sous le nom de code Troj/Fareit-AWR.

Cette infection par le malware Fareit n’a pas été téléchargée. En effet, il a été programmé en base 64 au sein d’une séquence JavaScript qui est elle-même stockée à l’intérieur d’un fichier ransomware, et installée par le ransomware comme un élément additionnel.

Le code du programme qui envoie le fichier Fareit sur votre disque dur et le lance est dissimulé par le processus de chiffrement AES, via l’utilisation d’une clé de déchiffrement stockée au sein du malware :

Le malware Fareit ainsi envoyé est stocké dans le répertoire MesDocuments en utilisant la dénomination suivante : st.exe.

 

Petya

Le ransomware Petya s’attaque à vos disques durs en modifiant l’amorçage de votre disque dur.

Petya s’infiltre via des candidatures adressées par courriel aux Ressources Humaines

Récemment détecté en Allemagne, «Petya» est un nouveau rançongiciel (ransomware) diffusé principalement sous la forme de courriel de candidature adressée au service des Ressources Humaines.

Le message contient un lien hypertexte vers un dossier en ligne Dropbox présentant un curriculum vitae et une photo.

En ouvrant l’un des deux fichiers, le destinataire libère le rançongiciel qui va alors modifier le secteur d’amorçage du disque dur (MBR).
Un ransomware habituel crypte généralement des fichiers de certains types, tels que des photos, les document Office etc en laissant le système d’exploitation intact de façon à ce que la victime puisse utiliser l’ordinateur pour payer la rançon. Mais Petya s’avère encore plus cruel puisqu’il vise à bloquer l’accès à tout le disque dur.

Plus d’information sur Petya : Information sur Petya

Torrentlocker

TorrentLocker est l’un des plus grands et les plus dangereuses familles de ransomware nous l’avons vu en action lors des deux dernières années. TorrentLocker est également connu comme Win32 / Filecoder.DI. Il tire son nom d’un billet de blog par iSIGHT Partenaires publié à l’été 2014.

Typiquement, TorrentLocker crypte les fichiers de la victime par l’intermédiaire d’AES-256 algorithme de chiffrement et demande un paiement en Bitcoin. Le paiement moyen est jusqu’à 4.081Bitcoins (environ 1500 $ US), tel que rapporté par chercheurs de ESET.

Locky

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir « ATTN: Invoice J-XXXXXXX ». Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format « invoice_J-XXXXXX.doc ».

Quant au nom de l’expéditeur, ce n’est jamais le même. Il doit s’agir du propriétaire d’une des machines détournées via le botnet pour l’envoi de ces spams.

Locky a dès le départ fait son apparition via un fichier joint de type word qui demandait l’activation des macros pour pouvoir visualiser le contenu du fichier (ici en anglais).

Une des forces dans l’attaque est qu’il y a eu un réel effort dans la syntaxe dans les différentes langues d’envoi du mail alors que bon nombre de ses homologues laissaient paraitre des fautes d’orthographes de façon récurrente dans le corps des emails.

CTB-locker

Tous les fichiers cryptés par Critoni sont définis au format CTBL et il est impossible de les ouvrir. Une fois installé, ce logiciel escroc analysera votre ordinateur pour trouver quels fichiers vous avez dessus puis en crypter la plus grande partie (pas nécessairement tous). Ce qu’il se passe après est qu’une grande fenêtre est affichée sur votre écran. Cela ressemble à ça (voir dessous). Cela affirmera que vos dossiers personnels sont cryptés et si vous les voulez de nouveau, vous devrez payer une rançon d’environ 120$ US.

ZCRYPTOR

ZCRYPTOR est un rançongiciel qui se propage via les clés USB et les Disques durs externes.

Il est le dernier né des virus de ce type et s’attrape généralement comme ses prédécesseurs via une pièce jointe infectée attachée à un courriel (principalement des pourriels à cette date…).

ZCRYPTOR a la spécificité de détecter les supports amovibles de type clé USB ou disque dur externe et copie ses fichiers dans la séquence d’initialisation de ces derniers. Les fichiers sont alors modifiés et rendus invisibles à l’utilisateur.

L’infection va ainsi se propager et infecter de nouvelles machines lorsque l’appareil infecté sera branché sur un nouvel ordinateur.

En ouvrant le fichier contaminé, ou en connectant l’appareil infecté, le destinataire libère le rançongiciel qui va alors chiffrer le contenu de son ordinateur.

Une demande de paiement d’une rançon (généralement 1,2 bitcoins, soit environ 500 euros au cours actuel) s’affiche à l’écran au travers d’une boîte de dialogue et le montant réclamé à la victime augmente si la somme n’est pas réglée rapidement.

Veillez à désactiver la fonction autoplay des clés USB et disques durs afin de limiter la possibilité pour ZCRYPTOR d’infecter d’autres stations de travail.

II/ LE MODE DE PROPAGATION

Une fois un ordinateur infecté, les partages réseaux sont le principal vecteur de propagation.

Ainsi le virus s’assure une contamination maximale sur les postes composants le réseau ciblé (l’entreprise).

/!\ les lecteurs mappés ne sont pas seuls ciblés, tous les partages présents sur le réseau sont « scannés » par le virus pour les atteindre /!\

III/ UNE FOIS L’INFECTION INSTALLÉE

Il faut voir aussi qu’il y a comme pour une demande de rançon « classique », une échéance pour le paiement demandé, une fois celle-ci dépassé le montant est réévalué à la hausse.

A noter que l’ensemble des virus demandent un paiement en Bitcoins, qui par son fonctionnement même est très difficile (pour ne pas dire impossible) à tracer.

IV/ LES FORCES DE CES INFECTIONS

Techniquement les forces de ce type de logiciels malveillants tiennent notamment à la rapidité de cryptage en ne chiffrant que partiellement les fichiers, les rendant inexploitables sans perte de temps à corrompre l’intégralité du contenu.

Cela permet à locky (pour exemple) de rendre impossible à lire de 300000 à 500000 fichiers en ½ heure.

Il est aussi de cette façon plus difficile de détecter les fichiers sources de l’infection.

Locky a apporté une variante qui le rend très compliqué pour les antivirus. En se supprimant une fois chargé en mémoire, l’analyse des fichiers des disques durs ne trouvera pas le virus.

Il y a quelques jours une information circulait avec cette teneur :

« Depuis ce matin (hier le 10 mars), une nouvelle variante est apparue et n’est détectée que par 5 antivirus sur 57. Cette variante est plus dangereuse, car elle chiffre tout sur le partage réseau en utilisant la découverte réseau de Windows, alors que la précédente mouture du malware se basait sur les lettres des lecteurs réseaux ».
source : http://www.silicon.fr/

Le mode opératoire est sensiblement similaire en faisant apparaitre un fond d’écran contenant les informations pour réaliser le paiement ainsi que son montant.

Ces virus ont pris pour cible différents pays en s’appuyant sur des critères d’efficacités, un classement des « bons payeurs » leurs a permis de générer des montants très importants.

V/ NETTOYAGE ET SUITE

Il est malheureusement impossible de décrypter les fichiers chiffrés (le nombre de bits du cryptage est tellement important que sans la clé de déchiffrement, l’opération est en l’état actuel inenvisageable)

La solution la plus sure et aisée sera une fois le nettoyage correctement effectué, de restaurer à partir de sauvegarde les fichiers qui ont été impacté.

Une bonne politique interne est la meilleure des protections :

  • Politique de flux contrôlés sur vos passerelles (aucune sortie en direct)
  • Revue régulière des droits sur les partages de fichiers
  • Revue régulière des membres du groupe « admins du domaine » : AUCUNE personne étrangère à l’équipe s’occupant des serveurs ne doit y figurer. Aucune exception : pas de VIP, pas de manager, etc.
  • Filtrage web via proxy
  • Antivirus centralisé via une console sur la totalité de votre parc droits non admin sur les postes des utilisateurs (empêche l’installation de logiciels contenant des crapware)
  • Charte informatique signée par chaque utilisateur pour le responsabiliser sur l’outil informatique et les risques inhérents, la sécurité c’est l’affaire de tous
Jean-Charles LOUCHE

«Bonjour Hervé,

J’ai eu hier la confirmation que la techno Sandstorm de Sophos était la solution que nous attendions face aux nouvelle menaces de type Ransomware / Cryptolocker. Nous pouvons constater qu’une attaque récente de 20 mails vers une boîte aux lettres a été bloquée sur une seule journée.

Je dois t’avouer que je suis moins inquiet depuis que nous avons mis en place Sandstorm.

Si certain de tes clients sont hésitant par rapport à cette techno je pourrai apporter mon témoignage. »

Responsable Informatique, France Galva

Protégez votre système d’information !

Vous souhaitez un complément d’information sur :

  • Le ransomware / rançongiciel
  • La protection du réseau informatique de mon entreprise (pare-feu / firewall)
  • La protection de la messagerie électronique (spam / virus / malware)
  • Le contrôle des accès web et le filtrage d’Internet
  • La sécurisation du poste de travail et des serveurs (virus / spyware / malware)
  • La détection d’intrusion de mon système d’information