Victime d'un Ransomware ?
Comme vous le savez peut-être, derrière ce nom barbare se cache un fléau qui grandit toujours très vite et qui ne montre aucun signe de faiblesse, une fois installé sur votre Pc, il cryptera celui-ci (HDD) et rendra impossible l'accès à votre machine ou à vos données sauf si vous décidez de payer une rançon en bitcoin pour avoir "la clef de déblocage", d'où son nom Ransomware, qui peut se traduire par rançongiciel.
Mais pourquoi faire encore un billet sur les Ransomwares ?
Ce dernier trimestre 2 associations de ma région ont eu ce désagrément et certains (via Usb/Hdd externe ?) ont corrompu leur système.
Apparemment une clef Usb de travail insérée sur un Pc privé corrompt celui-ci à son tour. Il reste donc à définir la façon dont ils se propagent sans exception (pas seulement par torrent ou téléchargements) et comment s'en prémunir ou obtenir les clefs de déchiffrements.
Je lis ici et là beaucoup de choses souvent pertinentes mais aussi incomplètes, voire fausses ( sous Mac/Linux ça n'existe pas, j'ai la meilleur suite d'AV etc…)
La juste information est diluée par la forme de celle-ci - Même une sorte de désinformation (incompétences des agences gouvernementales ? Intox des fondeurs d'AV ? ). Certainement oui mais ils ne sont pas tous pourris !
Le contrôleur Européens pour la protection des données est en faveur du chiffrement de bout en bout et sans "backdoors", il est nécessaire et même obligatoire aujourd'hui. ICI : https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf
Rapport signé par Giovanni Buttarelli, mais par les temps qui courent nos gouvernants (tous partis confondus) n'encouragent pas vraiment ceci et pourtant…
A savoir : certaines entreprises ont décidé de payer une fois le Ransomware installé confortablement mais n'ont jamais rien reçu en échange, d'autres ont payé une forte somme d'argent pour avoir la tranquillité et pour ne pas perdre toutes leurs données/clients etc…
Mais Mr. "tout le monde" peut faire aussi les frais de cette malencontreuse aventure comme je vous l'ai montré plus haut. Je ne vais pas vous faire un discours sur "comment protéger son Pc" ou encore "comment rester vigilant derrière son écran" etc. (quoique…) Mais que faire s'il s'installe chez vous et que vous n'arrivez pas à l'enlever/retirer ?
Ne cédez pas à la tentation de payer car rien n'est garanti (L'Europol le déconseille d'ailleurs). De plus, vous donnez à son "créateur" la preuve qu'il fonctionne. L'augmentation des infections est de l'ordre de 550% ! Il y a plusieurs types de Ransomwares, ceux qui peuvent empêcher le système de démarrer, ceux qui cryptent vos données (lecteur) certains disposent d'un minuteur etc…
***
Mais sur quel OS ? (système).
Sur Mac OS : L'exemple d'une machine infectée par un Ransomware comme vous pouvez le voir sur cette capture ci-dessous, le ransomware a été pris "la main dans le sac" (le ransomware a été attrapé via un client torrent) Apple a très vite proposé une Maj. et mis à jour le moteur de son anti-virus maison "Xprotect" et de fait, ils sont devenus rares sous cet environnement mais pas impossibles. Avec cette méthode de détection dite "comportementale" et qui s'applique donc, en théorie, à tout Ransomware, mais hélas elle ne signalera pas les processus d'applications signé Apple et corrompus.
Un comble quand même quand on sait que ce ransomware avait été signé avec le certificat d’un développeur légitime d’Apple, ce certificat a été vite révoqué. Vous avez dit "failles" ? On peut s'attendre à ce que la rançon demandée soit un "prix Mac"aussi.
De plus, la "protection" mise en place a été contournée en début d'année par l'excellent Pedro Vilaca, sa démo est ICI : https://www.youtube.com/watch?v=1UhhlHKTQao&feature=youtu.be
En informatique rien ne reste statique bien longtemps et il est fort probable qu'un "antidote" soit trouvé à son tour, si ce n'est déjà fait.
Sur Windows : Les choses se compliquent car c'est le système le plus répandu/utilisé sur la planète et de fait, ils sont légion ! Ils sont en outre, de plus en plus capables de contourner ou leurrer vos/nos protections, payantes ou pas…(Peut-être le plus connu est celui du type "gendarmerie") mais aussi le plus reconnu par nos AV ce qui n'est pas le cas avec les nouveaux arrivants ! Les failles sont nombreuses sous Windows (les navigateurs "libres ou propriétaires", Opera/Firefox/IE/Edge…) Mais aussi par exemple : Flash, java, Silverlight, les ActiveX etc…méfiez-vous aussi des fausses Maj. proposé sur certaines pages (lecteurs vidéos/audio/codecs téléchargement, attaquent "drive-by" etc…).
Certains ont pour particularité de "s'auto propager". Beaucoup d'anti-Malwares/virus payants ou non ne voient rien venir, cependant certaines variantes sont décelées par (entre-autres) l'excellent "Anti-Malwarebytes Premium". Tenez vos systèmes/Logiciels à jour et surtout faites des sauvegardes régulières de votre OS à minima ! Des outils de décontaminations existent mais au cas ou, rien ne vaudra jamais une bonne sauvegarde de votre système.
Sous Linux : Ils se trouvent principalement sur les serveurs (surtout mal sécurisés) le risque existe sur les Pc de salon mais très faible à en croire les stats et principalement là aussi sur la distribution la plus populaire (Ubuntu) Pour ceux que cela intéresse l'extension "NoScript" sur Firefox fait ici des merveilles sur le Web, une protection supplémentaire de taille. Les contenus visés ont par exemple les extensions suivantes : ".doc" avec macro".jpeg", ".png", ".gif", ".wmv",".mp4", ".pem", ".pub", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv" etc…
Pour avoir jeté un œil sur ces extensions (ils ne sont pas tous répertoriées ici bien sûr) je peux dire qu'ils visent les sites Web (les pages que vous visitez sont hébergés pour la plupart sous Linux) et les sources. Donc à part sur les serveurs…mais rien n'est jamais acquis en micro. Enfin, un célèbre fondeur a même sorti (fin 2015) un petit soft pour l'éradication et ceci gratuitement. ICI : https://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/
***
L'Europol + certaines polices Européennes se sont rapprochées de l'éditeur d'anti-Malwares/virus "Kaspersky" ainsi que de la division sécurité d'Intel (Intel Security, anciennement McAfee) pour créer "No More Ransom".
Ce site répondra à de très nombreuses questions concernant ce fléau qui perdure et qui prend de l'embonpoint. Mais surtout il met à votre disposition quelques 160 000 clefs de déblocage ! (déchiffrement).
Un site à avoir sous le coude, on ne sait jamais…Kaspersky avait lancé en 2015 un logiciel de décryptage et ce fondeur n'est pas vraiment étranger à "no more random".
Vous trouverez sur ce site pleins d'outils pour combattre ce fléau et notamment : ShadeDecryptor (extensions .xtbl,/ytbl/breaking_bad/heisenberg) Fury, Agent.iih, Cryptokluchen, Bitman, Rotor, coin Vault, Bitcryptor et pleins d'autres encore…Mais aussi pour rapporter votre situation ou pour un signalement.
Les clefs de décryptages sont ICI : https://www.nomoreransom.org/decryption-tools.html
La page pour un signalement est ICI : https://www.nomoreransom.org/report-a-crime.html
Le cas des Anti-virus/Malwares (AV) : un célèbre chercheur travaillant pour Google ne cesse de trouver des failles sur ces "suites" et il les publient ! ICI : https://bugs.chromium.org/p/project-zero/issues/list?can=1&q=owner:taviso@google.com&sort=-id&colspec=ID%20Type%20Status%20Priority%20Milestone%20Owner%20Summary
Et à destination des particuliers/entreprises (aucune suite n'a été épargnée !) Les AV ne respectent pas certaines règles de base de l'OS en s'octroyant l'accès au cœur du système de manière abusive (je sais on peut en discuter) 
Se croire à l'abri de tout en installant un bon AV est une époque révolue, un leurre.
Je m'explique : une grande majorité des AV "modernes" (via le Cloud par ex.) se reposent en fait sur "Virus total" (Google) qui recense les signatures de ces Malwares au lieu de faire le travail eux même, ils se contentent de vérifier ces signatures. Heureusement mais un peu tard, aujourd'hui Virus total (mai 2016) a interdit l'accès à ses signatures si ces fondeurs ne participent pas à leurs recherches/développements.
Kaspersky a avoué ce trimestre que 30% des attaques concernent les ransomwares et devancent les APT, les variantes représentent 14%, exemples d'attaque : des faux tech. pour des faux écrans, ajout d'un botnet (attaque DDoS et avec de nombreuses variantes) le "DMA locker 4.0" n'en fini plus de muter, avant il "travaillait offline", aujourd'hui il se connecte à un serveur de C&C pour générer les clefs de chiffrements, autrement dit, avant tout se passait par Mail (pièce jointe) aujourd'hui tout se passe en ligne, l'objectif de ce "Malware" est sûrement d'intégrer "un kit d'exploit".
J'entends souvent dire "je vais me protéger en achetant la meilleure suite de protection même la plus chère…"
La sécurité n'est pas une histoire de prix ou de chèque mais de méthodes/règles/organisations. Les Hackers n'exploitent pratiquement jamais les failles "zéro Day" et jamais référencées comme le prétendent les éditeurs ou même la Nsa, le "Zéro day" n'est exploité que sur des cibles importantes et sont rares. Ils utilisent avec préférence les patchs correctifs (du "réserve engineering") dés qu'ils sortent pour exploiter les failles qu'ils corrigent et ensuite automatise le tout pour toucher un max de cibles… Pour moi, la meilleure/seule protection reste un chiffrement efficace de mon HDD et sa sauvegarde !
Pour finir, on trouve de tout sur le Web et c'est gratuit voyez plutôt : Un site comme "shodan" ICI : https://www.shodan.io/ qui vous permet de rechercher des systèmes ouverts/connectés et sans aucune protection, on trouve de tout, les "ICS" qui supervisent un parc de machines, des cams de surveillances et même de particuliers, peu importe sa taille et sa nature…Il n'y a qu'à piocher (les créateurs de ransomwares, les Hackers ne se gênent pas) Mais la liste devient longue et ce billet va commencer à devenir indigeste non ?
***
Il y a 1 an environ les Ransomwares visaient principalement Android et Windows, les choses ont bien changé, les serveurs tournant sous Linux les ont vu débarquer en masse en contaminant au passage des milliers de serveurs Web, les responsables du "Linux.Encoder" l'ont étendu par la suite vers le système d'Apple. La boucle est bouclée.
Pour finir : les Ransomwares ne faiblissent pas, ne montrent aucun signe de fatigue, s'attaquent à n'importe qui (il n'y a pas de petits profits) De très nombreuses polices Européennes croulent sous les dossiers d'entreprises à la recherche de ceux qui sont coupables de ces extorsions.
Si par malheur vous êtes infectés et que vous ne trouviez pas votre bonheur sur le site "No random more", pensez quand même à faire un signalement sur le site, j'ajoute que sur tout les OS (WS/Linux/Apple) l'extension "NoScript" pour navigateur (seulement sur Firefox) fait des merveilles en bloquant tout les scripts sur les pages Web et c'est déjà beaucoup !
Chose que ne font pas nos AV gratuits ou payants ! Alors il ne vous restera plus qu'à chercher une soluce sur le Web ou simplement restaurer une image de votre disque dur.
Tout le monde devrait avoir une image de son HDD non ?
Bon surf et belle journée.
Charly
Les autres articles de Charly :
***
Vous avez envie comme Charly de publier sur Sospc un article sur un sujet qui vous passionne ?
Je vous propose de vous rendre ICI pour en savoir plus.
Christophe, Administrateur.