Dans la peau d’un ransomware

Le ransomware, ce logiciel qui piège vos fichiers et vos ordinateurs, vous en avez tous entendu parler. Ils se nomment Virus Hadopi, Virus gendarme (Reveton), CTB, Critno, CryptoLocker, … Le 19 janvier, zataz.com vous expliquait comment des institutions territoriales (mairies, Communautés de communes, …) s’étaient fait piéger par ce type de code malveillant. Logiciel pirate qui avait chiffré les fichiers et réclamé une somme d’argent pour pouvoir récupérer les documents. ZATAZ Magazine va vous montrer l’attaque d’un ransomware … du côté pirate.

DDoS-HS

 J -1 : avant l’attaque du ransomware

Le code de Пірат [Le pseudo de notre pirate créé pour l’occasion de cet article, NDR] est enfin prêt. La mission de son logiciel, se faire passer pour un screen saver (.scr), un écran de veille. Son exécutable, il le cache dans un fichier compressé au format .zip. Il espère ainsi que les internautes qui le recevront, cliqueront. Pour cela, le social engineering est un élément très important dans son attaque. D’abord le nom de son .scr. Des noms qui accrochent l’œil comme « woman », « sex », … Ensuite, le message communiqué par courriel. Пірат diffuse son courriel en Allemand, Néerlandais, Italien, Français, Espagnol et Anglais. Il indique qu’un fax est en attente. Des variantes indiquent aussi une facture ou un document comptable. A noter que zataz vous alertait du début de cette attaque, il y a 15 jours, sur le twitter officiel de la rédaction @zataz.

 

H -12 avant l’attaque du ransomware

Пірат peaufine ses sites Internet dédiés au paiement et au déchiffrement des fichiers piégés. Son attaque est intégralement automatisée. L’escroc a créé plusieurs espaces cachés dans le darknet. Des sites en .onion, quasiment impossible à remonter. Les utilisateurs du système TOR connaissent bien cet indicatif. Il permet d’avoir l’assurance d’une protection contre l’espionnage. Malheureusement, les pirates ont compris, il y a bien longtemps, l’utilité de cet outil d’anonymisation. Пірат est content. Son outil automatique est prêt à recevoir les complaintes des internautes, sociétés, mairies piégés.

La fenêtre du pirate s'affiche à l'écran de l'ordinateur infecté.

La fenêtre du pirate s’affiche à l’écran de l’ordinateur infecté.

 H -2 avant l’attaque du ransomware

Пірат a payé à d’autres pirates des espaces Internet préalablement infiltrés. Cela lui permet d’accéder à des outils malveillants qui vont exploiter les sites piratés pour diffuser des centaines de milliers de courriels, sans laisser de traces, sauf celles des sites pénétrés par les cybers pirates. Des sites basés un peu partout dans le monde, comme via-syndic.com, une société basée au Maroc.

 10 minutes après l’attaque du ransomware

Les courriels sont partis. Les premiers clics apparaissent dans la console de пірат. Une fois que ses « pigeons » sont ferrés, que les ordinateurs sont infiltrés, les fichiers sont rendus illisibles, le pirate n’a plus qu’à attendre. Son « microbe » est un ransomware polymorphique avec un mécanisme anti-émulation. Une de ses particularités est que les serveurs de commande et de contrôle (C&C) sont cachés danse réseau Tor compliquant la recherche de Пірат. BTC Locker se caractérise également par l’utilisation d’un schéma cryptographique orthodoxe (compression + l’algorithme Diffie-Hellman) rendant le déchiffrement impossible.

15 minutes après l’attaque du maître chanteur 2.0

Les premiers fichiers chiffrés arrivent dans les serveurs de пірат. Son outil « woman.scr » ne fait pas que chiffrer les fichiers qu’il trouve dans les ordinateurs (*.pdf, *.jpg, *.doc, *.txt, …), ils profitent du moment de panique dans les entreprises pour télécharger un maximum de documents.

 20 minutes après l’attaque du ransomware

Пірат sourit, les premières demandes arrivent sur ses sites cachés dans Tor. Il faut dire aussi que les messages qui s’affichent dans les écrans des personnes piratées ont de quoi attirer les regards. Son outil affiche un compte à rebours « flippant » et un message clair comme de l’eau de roche : « Vos fichiers sont chiffrés, il faut payer pour les récupérer« . Le pirate rigole dans sa moustache. Il sait que la meilleure ligne de défense contre les ransomwares est de posséder une sauvegarde de la machine attaquée. 33% des entreprises ne font aucune sauvegarde !

Le pirate propose un mode d'emploi pour le rejoindre sur TOR.

Le pirate propose un mode d’emploi pour le rejoindre sur TOR.

Пірат propose même un mode d’emploi pour rejoindre TOR et son outil automatique de déchiffrement. Il fournit aussi une clé de 168 signes à rentrer dans son outil. Cela permet au « bot » de reconnaitre sa victime et de lui proposer de quoi déchiffrer 5 fichiers, gratuitement. Les autres, il faut payer.

30 minutes après l’attaque du logiciel de ransonnage

Пірат le sait, ceux qui ne payeront pas, auront perdu des semaines, des mois, des années de travail. Il sait aussi que 34% des entreprises françaises ne font aucune sauvegarde de leurs données (Source: DELL). Bref, payer ou mourir (Une PME qui perd ses données disparait en 3 mois, NDR). Пірат en profite, chaque heure, son « microbe » fait grimper les prix. Ca débute à 200€ pour finir à une demande de rançon de 600. Пірат se marre, les outils proposés par les éditeurs d’antivirus comme Rakhni decryptor, Rannoh decryptor, Xorist decryptor de Kaspersky ; Panda unransom de Panda Security ; TL08 unlock de DrWeb ne servent à rien.

 Pour accéder à l'espace "information" du pirate, il faut rentrer une clé unique.

Pour accéder à l’espace « information » du pirate, il faut rentrer une clé unique.

40 minutes après l’attaque

Les premières sommes d’argent arrivent sur les comptes bitcoins пірат. Combien gagnent-ils ? Le mystère reste complet.

Le pirate propose de déchiffrer 5 fichiers "gratuitement" pour prouver son savoir faire !

Le pirate propose de déchiffrer 5 fichiers « gratuitement » pour prouver son savoir faire !

H +1 après l’attaque

Que faire face à ce genre d’attaque ? D’abord, ne pas ouvrir les fichiers proposés en pièces jointes dans les courriels d’inconnus. Pour moi, c’est une faute grave que de vouloir ouvrir un document baptisé sex.zip ; woman.zip ou encore fax.exe. Il est encore plus grave et inconscient que d’exécuter le woman.scr caché dans sa coquille .zip. Je serai même à deux doigts de dire aux victimes « dommage, mais c’est de votre faute ». Un antivirus ne vous aidera pas. Arrêtez de penser tout savoir sur l’informatique ; de vous la jouer « moi, l’informatique, je maîtrise ». La prudence et la réflexion face à un document numérique est la priorité des priorités. Si vous avez un doute sur un fichier envoyé par un « contact », perdez 60 secondes, appelez-le pour qu’il vous confirme la correspondance. Dernier point, ne payez pas les escrocs. Vos fichiers sont perdus et définitivement perdus. Inquiétez-vous plutôt de ce que je pirate a pu recevoir pendant son infiltration. Un backup, et/ou une sauvegarde extérieure, sera votre roue de secours.

Ne payez pas ! Verser une rançon renforce la motivation aux escrocs. Ne payez pas ! Des cas ont démontré que les fichiers déchiffrés ont été de nouveaux piégés, quelques heures plus tard !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. DicoMicro Reply

    Un site internet fourni par Fox-IT InTELL et FireEye propose depuis le 6 aout 2014 de décrypter gratuitement vos fichiers en leur fournissant le fichier et votre e.mail.

  2. Romain Reply

    Bonjour,
    Pouvez-vous expliquer pourquoi les antivirus tels Kaspersky Endpoint Security ou encore Symantec Endpoint Protection sont incapables de bloquer ce type de fichier (ou encore les « virus gendarmerie », etc…)

    Je suis dans le monde pro et on a régulièrement des personnes qui se font avoir, l’antivirus, chèrement payé et mis à jour est complètement inopérant.

    Merci pour cette précision qui devrait en intéresser plus d’un !

    • Damien Bancal Reply

      Bonjour,
      En fait, ce type de code malveillant n’est pas un virus, il n’a pas pour mission de se reproduire. Il joue sur la crédulité et curiosité de l’internaute. Ensuite, les pirates font de manière à ce que chaque code envoyé soit différent. Pour cela, ils chiffrent le fichier d’une manière à ce que sa signature soit unique. Quand le microbe est détecté, là, il commence à être reconnu par les antispams (contenu du courriel) et les protections. Mais malheureusement, comme la grippe, le vaccin n’apparait que si la « souche » est connue, et en informatique c’est beaucoup plus compliqué.

      Cordialement

  3. yoz Reply

    Chaque fichier qui arrive par boite mail est différent.
    Meme chose pour la clé d’encryptage qui est propre à chaque victime.
    Voila pourquoi les antivirus ne peuvent rien y faire.

    Je rajouterais qu’il faut non seulement avoir une sauvegarde, mais également une sauvegarde exterieure car le simple fait que votre PC puisse y accéder peut causer la perte de celle-ci au moment du piratage . Meme chose si vous avez 2 disques en RAID. Les fichiers cryptés se copieront automatiquement sur le 2e disque et votre sauvegarde de secours ne vous servira à rien.

  4. John d'eau Reply

    En quoi les données sont perdues ? Reverse du malware et c’est souvent un pauvre xor sur les fichiers…

  5. jpm Reply

    Bonjour Romain,
    Car nos chères antivirus sont mal conçu et ses bases sont des empreintes digitales sur les signatures des virus donc si on change la signature ceci réduit la détection mais sans rentrer dans le détail un antivirus permet de réduire l’infection mais ceci à 75 % le reste il est dans les choux !! Ceci est la réalité et combien d’antivirus découvrent que 7 ans après un virus … Mais bon vive les joies de l’informatique en mode usine à gaz ! Et si le virus est bien fait , il reste une chose à faire savoir depuis combien de temps il est présent et avoir un courage hors pair pour analyser et voir le degré d’infection qui risque de faire peur ou mal .
    Jean-Pierre

  6. geronimo Reply

    bonjour,
    pourtant certain editeurs disent qu’ils bloquent les ransomwares et ont meme des outils pour les supprimer.
    c’est quand meme bizarre de payer assez chere un antivirus pour ne pas etre protegé contre ce genre de virus.
    a voir.
    bon week end.

    • Damien Bancal Reply

      Bonjour Geronimo,
      Les premiers étaient facile à combattre !
      Les nouvelles versions le sont beaucoup moins, reverse ou non !

      • geronimo Reply

        bonjour damien,
        donc meme en prenant toute les precautions possible (mise a jours adobe,java,microsoft,antivirus,navigateur,en ne cliquant pas sur n’importe quoi,….),rien ne pourra bloquer ou supprimer les ransonwares actuel?
        bon week end.

  7. Pingback: ZATAZ Magazine » De l’eau dans le gaz pour des PC de chez GDF Suez

  8. Romain Reply

    Merci pour ces précisions. Moi qui pensait que les derniers moteurs AV avec leurs capacité d’analyse « heuristique » pouvaient ffreiner ça…

    Juste une précision, je ne pensais pas aux virus envoyés par mail mais à ceux qui proviennent de page web infectées (souvent le cas des « virus gendarmerie ») et qui du coup pourraient être détectés en amont par les hébergeurs qui relaieraient cela aux éditeurs d’AV.

    PS. Le captcha pour poster un commentaire est ultra difficile à déchiffrer à l’oeil nu !!

  9. Pingback: ZATAZ Magazine » Un commissariat de police verse une rançon après son piratage

  10. Pingback: Outils anti ransomwares | Data Security Breach

  11. Pingback: ZATAZ Magazine » Kit de secours : anti ransomwares

Répondre à Damien Bancal Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.