Charly Ransomwares & Rançongiciels Vous avez la parole

Victime d'un Ransomware ? par Charly.

ransomware.www.sospc.name jpg

Victime d'un Ransomware ?

Comme vous le savez peut-être, derrière ce nom barbare se cache un fléau qui grandit toujours très vite et qui ne montre aucun signe de faiblesse, une fois installé sur votre Pc, il cryptera celui-ci (HDD) et rendra impossible l'accès à votre machine ou à vos données sauf si vous décidez de payer une rançon en bitcoin pour avoir "la clef de déblocage", d'où son nom Ransomware, qui peut se traduire par rançongiciel.

Mais pourquoi faire encore un billet sur les Ransomwares ?

 

Ce dernier trimestre 2 associations de ma région ont eu ce désagrément et certains (via Usb/Hdd externe ?) ont corrompu leur système.

Apparemment une clef Usb de travail insérée sur un Pc privé corrompt celui-ci à son tour. Il reste donc à définir la façon dont ils se propagent sans exception (pas seulement par torrent ou téléchargements) et comment s'en prémunir ou obtenir les clefs de déchiffrements.

Je lis ici et là beaucoup de choses souvent pertinentes mais aussi incomplètes, voire fausses ( sous Mac/Linux ça n'existe pas, j'ai la meilleur suite d'AV etc...)

La juste information est diluée par la forme de celle-ci - Même une sorte de désinformation (incompétences des agences gouvernementales ? Intox des fondeurs d'AV ? ). Certainement oui mais ils ne sont pas tous pourris !

Le contrôleur Européens pour la protection des données est en faveur du chiffrement de bout en bout et sans "backdoors", il est nécessaire et même obligatoire aujourd'hui. ICI : https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf

Rapport signé par Giovanni Buttarelli, mais par les temps qui courent nos gouvernants (tous partis confondus) n'encouragent pas vraiment ceci et pourtant...

A savoir : certaines entreprises ont décidé de payer une fois le Ransomware installé confortablement mais n'ont jamais rien reçu en échange, d'autres ont payé une forte somme d'argent pour avoir la tranquillité et pour ne pas perdre toutes leurs données/clients etc...

Mais Mr. "tout le monde" peut faire aussi les frais de cette malencontreuse aventure comme je vous l'ai montré plus haut. Je ne vais pas vous faire un discours sur "comment protéger son Pc" ou encore "comment rester vigilant derrière son écran" etc. (quoique...) Mais que faire s'il s'installe chez vous et que vous n'arrivez pas à l'enlever/retirer ?

Ne cédez pas à la tentation de payer car rien n'est garanti (L'Europol le déconseille d'ailleurs). De plus, vous donnez à son "créateur" la preuve qu'il fonctionne. L'augmentation des infections est de l'ordre de 550% ! Il y a plusieurs types de Ransomwares, ceux qui peuvent empêcher le système de démarrer, ceux qui cryptent vos données (lecteur) certains disposent d'un minuteur etc...

***

Ransomware-attaque sospc.name

Mais sur quel OS ? (système).

 

Sur Mac OS : L'exemple d'une machine infectée par un Ransomware comme vous pouvez le voir sur cette capture ci-dessous, le ransomware a été pris "la main dans le sac" (le ransomware a été attrapé via un client torrent) Apple a très vite proposé une Maj. et mis à jour le moteur de son anti-virus maison "Xprotect" et de fait, ils sont devenus rares sous cet environnement mais pas impossibles. Avec cette méthode de détection dite "comportementale" et qui s'applique donc, en théorie, à tout Ransomware, mais hélas elle ne signalera pas les processus d'applications signé Apple et corrompus.

ransomware charky tuto sospc.name 1

Un comble quand même quand on sait que ce ransomware avait été signé avec le certificat d’un développeur légitime d’Apple, ce certificat a été vite révoqué. Vous avez dit "failles" ? On peut s'attendre à ce que la rançon demandée soit un "prix Mac"aussi.

De plus, la "protection" mise en place a été contournée en début d'année par l'excellent Pedro Vilaca, sa démo est ICI : https://www.youtube.com/watch?v=1UhhlHKTQao&feature=youtu.be

En informatique rien ne reste statique bien longtemps et il est fort probable qu'un "antidote" soit trouvé à son tour, si ce n'est déjà fait.

Sur Windows : Les choses se compliquent car c'est le système le plus répandu/utilisé sur la planète et de fait, ils sont légion ! Ils sont en outre, de plus en plus capables de contourner ou leurrer vos/nos protections, payantes ou pas...(Peut-être le plus connu est celui du type "gendarmerie") mais aussi le plus reconnu par nos AV ce qui n'est pas le cas avec les nouveaux arrivants ! Les failles sont nombreuses sous Windows (les navigateurs "libres ou propriétaires", Opera/Firefox/IE/Edge...) Mais aussi par exemple : Flash, java, Silverlight, les ActiveX etc...méfiez-vous aussi des fausses Maj. proposé sur certaines pages (lecteurs vidéos/audio/codecs téléchargement, attaquent "drive-by" etc...).

Certains ont pour particularité de "s'auto propager". Beaucoup d'anti-Malwares/virus payants ou non ne voient rien venir, cependant certaines variantes sont décelées par (entre-autres) l'excellent "Anti-Malwarebytes Premium". Tenez vos systèmes/Logiciels à jour et surtout faites des sauvegardes régulières de votre OS à minima ! Des outils de décontaminations existent mais au cas ou, rien ne vaudra jamais une bonne sauvegarde de votre système.

Sous Linux : Ils se trouvent principalement sur les serveurs (surtout mal sécurisés) le risque existe sur les Pc de salon mais très faible à en croire les stats et principalement là aussi sur la distribution la plus populaire (Ubuntu) Pour ceux que cela intéresse l'extension "NoScript" sur Firefox fait ici des merveilles sur le Web, une protection supplémentaire de taille. Les contenus visés ont par exemple les extensions suivantes : ".doc" avec macro".jpeg", ".png", ".gif", ".wmv",".mp4", ".pem", ".pub", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv" etc...

Pour avoir jeté un œil sur ces extensions (ils ne sont pas tous répertoriées ici bien sûr) je peux dire qu'ils visent les sites Web (les pages que vous visitez sont hébergés pour la plupart sous Linux) et les sources. Donc à part sur les serveurs...mais rien n'est jamais acquis en micro. Enfin, un célèbre fondeur a même sorti (fin 2015) un petit soft pour l'éradication et ceci gratuitement. ICI : https://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

***

ransomware charky tuto sospc.name 2

L'Europol + certaines polices Européennes se sont rapprochées de l'éditeur d'anti-Malwares/virus "Kaspersky" ainsi que de la division sécurité d'Intel (Intel Security, anciennement McAfee) pour créer "No More Ransom".

Ce site répondra à de très nombreuses questions concernant ce fléau qui perdure et qui prend de l'embonpoint. Mais surtout il met à votre disposition quelques 160 000 clefs de déblocage ! (déchiffrement).

Un site à avoir sous le coude, on ne sait jamais...Kaspersky avait lancé en 2015 un logiciel de décryptage et ce fondeur n'est pas vraiment étranger à "no more random".

Vous trouverez sur ce site pleins d'outils pour combattre ce fléau et notamment : ShadeDecryptor (extensions .xtbl,/ytbl/breaking_bad/heisenberg) Fury, Agent.iih, Cryptokluchen, Bitman, Rotor, coin Vault, Bitcryptor et pleins d'autres encore...Mais aussi pour rapporter votre situation ou pour un signalement.

Les clefs de décryptages sont ICI : https://www.nomoreransom.org/decryption-tools.html

La page pour un signalement est ICI : https://www.nomoreransom.org/report-a-crime.html

Le cas des Anti-virus/Malwares (AV) : un célèbre chercheur travaillant pour Google ne cesse de trouver des failles sur ces "suites" et il les publient ! ICI : https://bugs.chromium.org/p/project-zero/issues/list?can=1&q=owner:taviso@google.com&sort=-id&colspec=ID%20Type%20Status%20Priority%20Milestone%20Owner%20Summary

Et à destination des particuliers/entreprises (aucune suite n'a été épargnée !) Les AV ne respectent pas certaines règles de base de l'OS en s'octroyant l'accès au cœur du système de manière abusive (je sais on peut en discuter) :-) mais le fait est que : Dans leur rôle de protecteur tout puissant de votre OS ils ne peuvent imaginer qu'ils puissent eux même être compromis/contournés, d'ailleurs depuis des années de nombreux cybercriminels abusent de ce fait non ? Il est bon et indispensable d'avoir un bon AV soyons clair mais rien n'est garanti.

Se croire à l'abri de tout en installant un bon AV est une époque révolue, un leurre.

 

Je m'explique : une grande majorité des AV "modernes" (via le Cloud par ex.) se reposent en fait sur "Virus total" (Google) qui recense les signatures de ces Malwares au lieu de faire le travail eux même, ils se contentent de vérifier ces signatures. Heureusement mais un peu tard, aujourd'hui Virus total (mai 2016) a interdit l'accès à ses signatures si ces fondeurs ne participent pas à leurs recherches/développements.

Kaspersky a avoué ce trimestre que 30% des attaques concernent les ransomwares et devancent les APT, les variantes représentent 14%, exemples d'attaque : des faux tech. pour des faux écrans, ajout d'un botnet (attaque DDoS et avec de nombreuses variantes) le "DMA locker 4.0" n'en fini plus de muter, avant il "travaillait offline", aujourd'hui il se connecte à un serveur de C&C pour générer les clefs de chiffrements, autrement dit, avant tout se passait par Mail (pièce jointe) aujourd'hui tout se passe en ligne, l'objectif de ce "Malware" est sûrement d'intégrer "un kit d'exploit".

J'entends souvent dire "je vais me protéger en achetant la meilleure suite de protection même la plus chère..."

 

La sécurité n'est pas une histoire de prix ou de chèque mais de méthodes/règles/organisations. Les Hackers n'exploitent pratiquement jamais les failles "zéro Day" et jamais référencées comme le prétendent les éditeurs ou même la Nsa, le "Zéro day" n'est exploité que sur des cibles importantes et sont rares. Ils utilisent avec préférence les patchs correctifs (du "réserve engineering") dés qu'ils sortent pour exploiter les failles qu'ils corrigent et ensuite automatise le tout pour toucher un max de cibles... Pour moi, la meilleure/seule protection reste un chiffrement efficace de mon HDD et sa sauvegarde !

Pour finir, on trouve de tout sur le Web et c'est gratuit voyez plutôt : Un site comme "shodan" ICI : https://www.shodan.io/ qui vous permet de rechercher des systèmes ouverts/connectés et sans aucune protection, on trouve de tout, les "ICS" qui supervisent un parc de machines, des cams de surveillances et même de particuliers, peu importe sa taille et sa nature...Il n'y a qu'à piocher (les créateurs de ransomwares, les Hackers ne se gênent pas) Mais la liste devient longue et ce billet va commencer à devenir indigeste non ? :-) J'essaie d'être bref, juste les faits et je ne peux le faire en 3 lignes...

***

Il y a 1 an environ les Ransomwares visaient principalement Android et Windows, les choses ont bien changé, les serveurs tournant sous Linux les ont vu débarquer en masse en contaminant au passage des milliers de serveurs Web, les responsables du "Linux.Encoder" l'ont étendu par la suite vers le système d'Apple. La boucle est bouclée.

Pour finir : les Ransomwares ne faiblissent pas, ne montrent aucun signe de fatigue, s'attaquent à n'importe qui (il n'y a pas de petits profits) De très nombreuses polices Européennes croulent sous les dossiers d'entreprises à la recherche de ceux qui sont coupables de ces extorsions.

Si par malheur vous êtes infectés et que vous ne trouviez pas votre bonheur sur le site "No random more", pensez quand même à faire un signalement sur le site, j'ajoute que sur tout les OS (WS/Linux/Apple) l'extension "NoScript" pour navigateur (seulement sur Firefox) fait des merveilles en bloquant tout les scripts sur les pages Web et c'est déjà beaucoup !

Chose que ne font pas nos AV gratuits ou payants ! Alors il ne vous restera plus qu'à chercher une soluce sur le Web ou simplement restaurer une image de votre disque dur.

Tout le monde devrait avoir une image de son HDD non ? :-) ...et bien sûr l'actualiser régulièrement, ça va de soi.

Bon surf et belle journée.

Charly

http://micropart.webnode.fr/

Les autres articles de Charly :  

autres articles

***
écrire un article sur sospc.name

Vous avez envie comme Charly de publier sur Sospc un article sur un sujet qui vous passionne ?

Je vous propose de vous rendre ICI pour en savoir plus.

Christophe, Administrateur.

Christophe Webmaster Sospc.name

Rejoignez la Communauté SOSPC et accédez à des contenus

et des avantages exclusifs à partir de 2€/Mois ou 20€/An !

Cliquez ICI pour obtenir plus d'infos et vous abonner. ;-)

Christophe. Administrateur.

Laisser un Commentaire

:bye: 
:good: 
:negative: 
:scratch: 
:wacko: 
:yahoo: 
B-) 
:-) 
:whistle: 
:yes: 
:cry: 
:mail: 
:-( 
:unsure: 
;-) 
tropbien 
mdr 
bg 
js 
petbjr 
pbpr 
pfe 
vv 
sos 
pcccccccc 
mur 
bdj 
cr 
tg 
aid 
BluesB 
DieuD 
 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

18 Commentaires

  • Bonsoir Charly

    j'avais par hasard installé Malwarebytes anti Ransomware...eh bien il m'a trouvé dernierement un virus et l'a éliminé.....efficace !!

    cdlt

  • Édit : Et pour être tout à fait complet. Mr.Gillespie, célèbre chercheur a mis à votre disposition un soft (encore en bêta mais pleinement fonctionnel) « RansomNoteCleaner » ICI : http://www.bleepingcomputer.com/forums/t/617257/ransomnotecleaner-remove-ransom-notes-left-behind/

    Comme son nom l'indique il supprimera les « restes » laisser par un Ransomware après sa suppression. Vous pouvez encore avoir quelques centaines de milliers de traces de ce Ransomware dans votre Pc d’où l'utilité d'une recherche/effacement de ces « restes » car manuellement cela vous prendrait un temps fou...Attention ! Il fait juste le ménage...

  • Bonjour,

    Quel que soit l'antivirus que l'on possède (et même si certain éditeurs sont très avancés concernant la protection contre les ransomwares, KIS, Bitdefender, DrWeb), la meilleure et la plus simple des précautions est de faire une sauvegarde de ses données (en plus d'une image de son système).

    La sauvegarde devrait, dans l'idéal, se trouver sur un disque dur externe uniquement dédié à cet usage et branché sur la machine uniquement lors des sauvegardes.

    Il existe des logiciels, gratuits, qui permettent d'automatiser la tâche. Une fois configuré, à l'installation, ils s'occuperont ensuite pratiquement seul d'exécuter la tâche quand on en aura besoin. Si j'opte pour ces logiciels gratuits, c'est parce qu'ils proposent plus d'options que la sauvegarde de Windows, mais cette dernière est très bien aussi ;)

    • Bonsoir,

      tout à fait d'accord avec vous, c'est ce je préconise dans les divers articles que j'ai publiés sur les ramsomwares, la sauvegarde est la meilleure des parades. ;o)< Christophe.

      • Bonsoir et merci Darksky pour ce commentaire :good:

        Je n'avais pas pensé à cela :cry: Je fait effectivement des sauvegardes (et même x3 pour le travail et sur de gros disque de 2 TO, montage vidéo oblige), mais sur des disques internes à mon système et donc :cry: :cry: :cry:

        • Bonjour Visio,

          La démarche est déjà très bien :)
          Le soucis est que de plus en plus de ransomware ont des capacité de propagation, que ce soit sur média amovibles, en réseau (NAS, etc) et donc forcément, sur un disque interne, il y a de fortes chances aussi pour qu'ils s'attaquent à l'ensemble des disques de la machine.

          C'est pourquoi un disque externe (USB) spécifiquement dédié aux sauvegardes et branché uniquement quand on effectue cette sauvegarde reste la meilleure parade.

          Comme le souligne Charly dans son article, il existe des outils pour décrypter les fichiers chiffrés par ces malwares (Kaspersky et DrWeb sont, il me semble, les premiers à en fournir "à foisons" parce qu'ils travaillent beaucoup là dessus), mais rien n'est jamais garanti.

          Toutefois, lorsque l'on est victime d'une variante qui n'a pas encore été contrée, il ne faut pas supprimer ses fichiers cryptés. Ces éditeurs proposent d'envoyer des échantillons de ces fichiers pour qu'ils les analysent, et tentent de trouver la clé de décryptage. Cette option est gratuite chez DrWeb si on possède une licence (mais ils proposent régulièrement des outils gratuits pour les récupérer aussi).
          Ce qui fait que parfois, après un mois ou 2, la clé est disponible et l'on peut espérer récupérer une grande partie de ses fichiers.

          Quoi qu'il en soit, ce que préconise Charly (image du HDD), ainsi que la sauvegarde indépendante des données, restera la meilleure parade ;)

          • Bonjour et merci Darksky pour cette réponse,

            Je vais me diriger vers cette solution (Il suffit finalement de mettre mes disques actuels dans des boitiers USB) et ainsi je pourrais les brancher que pour la sauvegarde.

            Actuellement, j'utilise Bitdefender security 2016, il a une protection ransomware : il empêche tout les dossiers qui sont sélectionnés d'être transformé d'une façon ou d'une autre. Au départ, il y a bien sur beaucoup d'alerte de programmes "légitimes" qu'ils faut mettre en liste blanche (Photoshop, Livemail, Firefox, Syncback etc .......) http://www.bitdefender.fr/support/comment-fonctionne-la-protection-contre-les-ransomwares-dans-bitdefender-2016--1624.html
            Mais il est bien possible que je passe à Kaspersky lorsque ma licence Bidefender se terminera.

  • Bonjour Charly, :bye:

    Donc vous ne partagez pas l'avis de Christophe sur le sujet AV.
    Il m'a semblé qu'il mettait l'accent sur une protection payante plutôt que gratuite et surtout une "forte attirance" vers Kaspersky ;-) ....... , mais je n'ai pas remarqué une méfiance particulière sur les AV en général.

    • re..
      Comme je le souligne dans ce billet il est bon d'avoir un bon AV Visio3 mais en ce qui concerne les ransomwares je reste dubitatif...la seule protection réelle/efficace reste pour moi le chiffrement de mon HDD+ quelques petites astuces. C'est juste mon point de vue, mon constat, de plus comme je le mentionne, toutes les suites d'AV payantes ou non ont de graves lacunes concernant les ransomwares (et pas que...) Personne ne se "méfient" des AV c'est normal ils sont là pour nous proteger...Quand à Kaspersky c'est une des meilleurs suites là n'est pas le problème. belle journée

    • Bonjour,

      je comprends tout à fait le raisonnement et les réticences de Charly concernant les Antivirus.

      Je continue de mon coté à plébisciter les Antivirus payants car ils sont indispensables quoiqu'on en dise.

      Il faut savoir aussi que Kaspersky est l'un des rares antivirus à pouvoir agir en cas de blocage total de votre pc. Oui, devant l'écran de demande de rançon il est possible de lancer une désinfection avec une combinaison de touches au cliavier. ;o)< L’Éditeur est en train de développer actuellement cette fonctionnalité car il a bien compris que s'il veut convaincre et garder ses utilisateurs actuels il faudra toujours offrir plus de fonctionnalités. La version 2017 offrira cette année en plus : • Le module Mise à jour des programmes permet de mettre à jour automatiquement les logiciels installés sur son ordinateur, afin de ne pas risquer qu’une faille soit exploitée par un cybercriminel. • Le module Secure Connexion permet de surfer en toute sécurité et en parfaite confidentialité, par exemple sur un réseau wifi public. L’identité de l’ordinateur est masquée et les données sont chiffrées, pour une sécurité maximale. • L’Assistant d’installation guide l’utilisateur lors de l’installation de programmes sur le Web, et grâce au Désinstallation de programmes, il pourra faire le ménage dans les applications superflues. Christophe.

        • Salut Léon, voici ce que dit l’Éditeur :

          En cas d’infection, vous pouvez activer notre technologie en pressant la combinaison de touches Ctrl+Alt+Shift+F4 (l’activation est également possible en pressant à plusieurs reprises Ctrl+Alt+Del). Kaspersky Internet Security comprendra alors qu’un ransomware est installé sur le système et activera immédiatement la technologie anti-ransomware.

          Christophe.

  • Bonjour et merci de votre comment...
    oui Bitdefender bien sur, j'ai mis un lien dans l'article même s'il date un peu...
    moi et les AV ben un peu fäché vous l'avez deviné

  • Bonjour et merci pour cet article :good:

    Pour information, il y a un autre programme que Kaspersky qui a une protection préventive contre les Ransomwares :
    Bitdefender INTERNET SECURITY 2016
    Il possède un module spécifique qui bloque au démarrage l’exécution de ce type de menace en immunisant les données sensibles de notre choix sur son ordinateur.
    Pour plus d'information : http://forums.cnetfrance.fr/topic/1296749-bitdefender-2016--configuration-et-reglages-des-modules-de-protection/