Le ransomware, ce logiciel qui piège vos fichiers et vos ordinateurs, vous en avez tous entendu parler. Ils se nomment Virus Hadopi, Virus gendarme (Reveton), CTB, Critno, CryptoLocker, … Le 19 janvier, zataz.com vous expliquait comment des institutions territoriales (mairies, Communautés de communes, …) s’étaient fait piéger par ce type de code malveillant. Logiciel pirate qui avait chiffré les fichiers et réclamé une somme d’argent pour pouvoir récupérer les documents. ZATAZ Magazine va vous montrer l’attaque d’un ransomware … du côté pirate.  J -1 : avant l’attaque du ransomware Le code de Пірат [Le pseudo de notre pirate créé pour l’occasion de cet article, NDR] est enfin prêt. La mission de son logiciel, se faire passer pour un screen saver (.scr), un écran de veille. Son exécutable, il le cache dans un fichier compressé au format .zip. Il espère ainsi que les internautes qui le recevront, cliqueront. Pour cela, le social engineering est un élément très important dans son attaque. D’abord le nom de son .scr. Des noms qui accrochent l’œil comme « woman », « sex », … Ensuite, le message communiqué par courriel. Пірат diffuse son courriel en Allemand, Néerlandais, Italien, Français, Espagnol et Anglais. Il indique qu’un fax est en attente. Des variantes indiquent aussi une facture ou un document comptable. A noter que zataz vous alertait du début de cette attaque, il y a 15 jours, sur le twitter officiel de la rédaction @zataz. Attaque en cours sous forme de 10e de milliers de mails au nom de #MyFax. Liens/sites piégés. #cyberdefense #rccyber pic.twitter.com/bdGv7kI3sa — ZATAZ.COM Officiel (@zataz) December 27, 2014 Prudence à ce genre de mail. Fichier en PJ (Excel) piégé. Détection : 18 antivirus sur 56. #rccyber #cyberdefense pic.twitter.com/nupz78QoyG — ZATAZ.COM Officiel (@zataz) January 24, 2015   H -12 avant l’attaque du ransomware Пірат peaufine ses sites Internet dédiés au paiement et au déchiffrement des fichiers piégés. Son attaque est intégralement automatisée. L’escroc a créé plusieurs espaces cachés dans le darknet. Des sites en .onion, quasiment impossible à remonter. Les utilisateurs du système TOR connaissent bien cet indicatif. Il permet d’avoir l’assurance d’une protection contre l’espionnage. Malheureusement, les pirates ont compris, il y a bien longtemps, l’utilité de cet outil d’anonymisation. Пірат est content. Son outil automatique est prêt à recevoir les complaintes des internautes, sociétés, mairies piégés.  H -2 avant l’attaque du ransomware Пірат a payé à d’autres pirates des espaces Internet préalablement infiltrés. Cela lui permet d’accéder à des outils malveillants qui vont exploiter les sites piratés pour diffuser des centaines de milliers de courriels, sans laisser de traces, sauf celles des sites pénétrés par les cybers pirates. Des sites basés un peu partout dans le monde, comme via-syndic.com, une société basée au Maroc.  10 minutes après l’attaque du ransomware Les courriels sont partis. Les premiers clics apparaissent dans la console de пірат. Une fois que ses « pigeons » sont ferrés, que les ordinateurs sont infiltrés, les fichiers sont rendus illisibles, le pirate n’a plus qu’à attendre. Son « microbe » est un ransomware polymorphique avec un mécanisme anti-émulation. Une de ses particularités est que les serveurs de commande et de contrôle (C&C) sont cachés danse réseau Tor compliquant la recherche de Пірат. BTC Locker se caractérise également par l’utilisation d’un schéma cryptographique orthodoxe (compression + l’algorithme Diffie-Hellman) rendant le déchiffrement impossible. 15 minutes après l’attaque du maître chanteur 2.0 Les premiers fichiers chiffrés arrivent dans les serveurs de пірат. Son outil « woman.scr » ne fait pas que chiffrer les fichiers qu’il trouve dans les ordinateurs (*.pdf, *.jpg, *.doc, *.txt, …), ils profitent du moment de panique dans les entreprises pour télécharger un maximum de documents. Nouvelle mairie touchée ! Si vous voyez ce message, il est trop tard ! http://t.co/quDqI5xhMt #rccyber #cyberdefense pic.twitter.com/iH6xpcHi4s — ZATAZ.COM Officiel (@zataz) January 23, 2015  20 minutes après l’attaque du ransomware Пірат sourit, les premières demandes arrivent sur ses sites cachés dans Tor. Il faut dire aussi que les messages qui s’affichent dans les écrans des personnes piratées ont de quoi attirer les regards. Son outil affiche un compte à rebours « flippant » et un message clair comme de l’eau de roche : « Vos fichiers sont chiffrés, il faut payer pour les récupérer« . Le pirate rigole dans sa moustache. Il sait que la meilleure ligne de défense contre les ransomwares est de posséder une sauvegarde de la machine attaquée. 33% des entreprises ne font aucune sauvegarde ! Пірат propose même un mode d’emploi pour rejoindre TOR et son outil automatique de déchiffrement. Il fournit aussi une clé de 168 signes à rentrer dans son outil. Cela permet au « bot » de reconnaitre sa victime et de lui proposer de quoi déchiffrer 5 fichiers, gratuitement. Les autres, il faut payer. 30 minutes après l’attaque du logiciel de ransonnage Пірат le sait, ceux qui ne payeront pas, auront perdu des semaines, des mois, des années de travail. Il sait aussi que 34% des entreprises françaises ne font aucune sauvegarde de leurs données (Source: DELL). Bref, payer ou mourir (Une PME qui perd ses données disparait en 3 mois, NDR). Пірат en profite, chaque heure, son « microbe » fait grimper les prix. Ca débute à 200€ pour finir à une demande de rançon de 600. Пірат se marre, les outils proposés par les éditeurs d’antivirus comme Rakhni decryptor, Rannoh decryptor, Xorist decryptor de Kaspersky ; Panda unransom de Panda Security ; TL08 unlock de DrWeb ne servent à rien.   Pour accéder à l’espace « information » du pirate, il faut rentrer une clé unique. 40 minutes après l’attaque Les premières sommes d’argent arrivent sur les comptes bitcoins пірат. Combien gagnent-ils ? Le mystère reste complet. H +1 après l’attaque Que faire face à ce genre d’attaque ? D’abord, ne pas ouvrir les fichiers proposés en pièces jointes dans les courriels d’inconnus. Pour moi, c’est une faute grave que de vouloir ouvrir un document baptisé sex.zip ; woman.zip ou encore fax.exe. Il est encore plus grave et inconscient que d’exécuter le woman.scr caché dans sa coquille .zip. Je serai même à deux doigts de dire aux victimes « dommage, mais c’est de votre faute ». Un … Lire la suite de Dans la peau d’un ransomware