RANSOMWARE Vos données en otage

RANSOMWARE Vos données en otage

Ransomware est un type de malware qui empêche l’utilisation du PC, soit en verrouillant l’écran du système, soit en cryptant les fichiers de l’utilisateur. Les familles de ransomware plus modernes, regroupées en tant que crypto-ransomware, cryptent certains types de fichiers sur les systèmes infectés et obligent les utilisateurs à payer la rançon à travers certaines méthodes de paiement en ligne pour obtenir une clé de décryptage.

Rançon ​​et paiement

Les prix de Ransomware varient en fonction de la variante de ransomware et des taux de change des devises numériques. Grâce à l’anonymat perçu offert par les crypto-monnaie (cryptocurrency), les cybercriminels spécifient généralement les paiements de rançon dans les bitcoins. Les variantes de ransomware récentes ont également répertorié d’autres options de paiement telles que iTunes et Amazon chèque-cadeau. Il convient toutefois de noter que le paiement de la rançon ne garantit pas que les utilisateurs obtiendront la clé de décryptage ou l’outil de déverrouillage nécessaire pour regagner l’accès au système ou aux fichiers infectés.

Infection et comportement

Afin d’infecter le PC, cybercriminels doivent infiltrer et exécuter le fichier malveillant sur l’ordinateur. Cela se fait généralement à l’aide d’un courrier électronique de phishing contenant un lien de téléchargement malveillant ou d’un faux rapport de crédit, notification de livraison, faux document de facturation, facture de recouvrement de créances ou d’autres informations accrocheuses. Le Ransomware peut également infecter l’ordinateur via un kit d’exploitation qui se propage souvent via des sites Web, des applications freeware et adware compromis, ou en utilisant des messages Facebook avec des images ou des vidéos.

Une fois exécuté dans le système, le ransomware peut soit verrouiller l’écran de l’ordinateur, soit, dans le cas de crypto-ransomware, crypter des fichiers prédéterminés. Dans le premier scénario, une image ou une notification en plein écran s’affiche sur l’écran du système infecté, ce qui empêche les victimes d’utiliser leur système. Le deuxième type de ransomware empêche l’accès aux fichiers potentiellement critiques ou précieux comme les documents et les feuilles de calcul.

Un peu d’histoire

Les cas d’infection par ransomware ont été vus pour la première fois en Russie entre 2005-2006 (détecté comme TROJ_CRYZIP.A), qui effaçaient certains types de fichiers (DOC, XLS, JPG, ZIP, PDF et autres extensions de fichiers couramment utilisées). Avant d’écraser les fichiers d’origine, ils créaient un fichier texte qui servait de note de rançon informant les utilisateurs que les fichiers peuvent être récupérés en échange de 300 dollars.

Au-delà de la Russie

Les infections Ransomware étaient initialement limitées à la Russie, mais leur popularité et son modèle rentable ont rapidement rencontré du succès dans les autres pays d’Europe. En mars 2012, les spécialistes ont observé une propagation continue des infections en Europe et en Amérique du Nord.

Police Ransomware

Reveton est connu sous le nom de Police Ransomware ou Police Trojans. Ces logiciels malveillants sont réputés pour montrer une page de notification prétendument de l’agence locale d’application de la loi de la victime, en les informant qu’ils ont été pris en flagrant délit lors d’une activité illégale ou malveillante en ligne.

Evolution Crypto-Locker et Crypto-ransomware

À la fin de 2013, un nouveau type de ransomware plus coriace a émergé. Les fichiers restaient cryptés, même si le malware lui-même a été supprimé du système. En raison de son nouveau comportement, il a été baptisé CryptoLocker. Comme les précédents types de ransomware, crypto-ransomware exige le paiement des utilisateurs concernés, cette fois contre une clé de décryptage pour débloquer les fichiers cryptés.

Bien que la note de rançon dans CryptoLocker spécifiait uniquement RSA-2048 comme méthode de cryptage utilisée, l’analyse montrait que le logiciel malveillant utilisait le cryptage AES + RSA.

RSA est une cryptographie de clé asymétrique, ce qui signifie qu’il utilise deux clés. Une clé est utilisée pour crypter les données et une autre est utilisée pour décrypter les données (la clé, appelé la clé publique, est mis à la disposition de toute partie externe, l’autre est conservée par l’utilisateur et s’appelle la clé privée). AES utilise des clés symétriques, qui utilisent la même clé pour crypter et décrypter les informations.

Le logiciel malveillant utilise une clé AES pour chiffrer les fichiers. La clé AES pour le décryptage est consignée dans les fichiers cryptés par les logiciels malveillants. Cependant, cette clé est cryptée avec une clé publique RSA intégrée au logiciel malveillant, ce qui signifie qu’une clé privée est nécessaire pour le décrypter.

Un autre type de ransomware de cryptage de fichiers est rapidement entré en action. Le crypto-ransomware connu sous le nom CryptoDefense ou Cryptobit crypte les bases de données, le Web, les  vidéo, les images, les scripts, les textes et d’autres fichiers non binaires, supprime les fichiers de sauvegarde pour empêcher la restauration des fichiers cryptés, et exige le paiement contre une clé de décryptage pour déverrouiller les fichiers.

Vol de cryptocurrency

Les Ransomware ont bientôt commencé à incorporer encore un autre élément: le vol de crypto-monnaie. Cette variante peut voler des informations à partir de divers portefeuilles de crypto-monnaie (Bitcoin, Electrum, MultiBit). Ces fichiers contiennent des informations importantes tels que les enregistrements de transactions, les préférences des utilisateurs et les comptes.

Angler Exploit Kit

Le kit d’exploitation Angler était l’un des kits d’exploitations les plus populaires utilisés pour diffuser le ransomware et a été utilisé notamment dans une série d’attaques par le biais de médias populaires tels que les sites Web d’actualités.

POSHCODER: PowerShell Abuse

Une nouvelle variante de ransomware tire parti de cette fonctionnalité Windows PowerShell pour crypter les fichiers. Les cybercriminels utilisent cette fonctionnalité pour rendre les menaces indétectables sur les systèmes en réseau local.

Infection des fichiers critiques

Les nouveaux Ransomware sont également capables d’infecter user32.DLL, un fichier critique connu. L’infection d’un fichier critique peut être considérée comme une technique d’évitement, car les fichiers critiques sont souvent exempts d’analyse anti-virus et anti-malware pour ne pas perturber le bon fonctionnement d’un système.

Les fichiers cryptés

Au départ, les crypto-ransomware ciblaient les. DOC, .XML, .JPG, .ZIP, .PDF et d’autres fichiers couramment utilisés. Les cybercriminels ont depuis inclus un certain nombre d’autres types de fichiers essentiels pour les entreprises, comme les fichiers de bases de données, les fichiers du site Web, les fichiers SQL, les fichiers liés aux impôts, les fichiers CAO et les fichiers VM.

 Le ransomware moderne

Depuis les crypto-ransomware ont continué à évoluer, en ajoutant des fonctionnalités tels que les compteurs à rebours, les montants de rançons qui augmentent avec le temps et les méthodes d’infection qui leur permettent de se propager sur les réseaux et les serveurs.

La plus grande attaque à ce jour

La variante WannaCry / WCRY, qui a été diffusée à l’origine via des URL malveillantes Dropbox intégrées dans les emails indésirables, a commencé à exploiter une vulnérabilité récemment corrigée dans le SMB Sever, ce qui a entraîné la plus grande attaque de ransomware à ce jour.

L’avenir du ransomware

Il ne sera pas surprenant que le ransomware change dans quelques années. En terme de potentiel, ils peuvent évoluer vers des logiciels malveillants qui désactivent toute l’infrastructure (critique non seulement pour le fonctionnement d’une entreprise, mais aussi pour une ville ou même une nation) jusqu’à ce que la rançon soit payée. Les cybercriminels peuvent bientôt se pencher sur des approches tels que les systèmes de contrôle industriels (ICS) et d’autres infrastructures essentielles pour paralyser non seulement les réseaux, mais aussi les écosystèmes. Un domaine clé qui pourrait devenir une cible plus grande pour les cybercriminels sont les systèmes de paiement, comme on le voit lors de l’attaque de la zone de transit de la baie en 2016, où les kiosques de paiement du fournisseur de services ont été ciblés avec ransomware.

Nous avons vu des cybercriminels frapper les hôpitaux, les fournisseurs d’internet et les fournisseurs de services de transport. Qu’est-ce qui empêcherait les attaquants de frapper des objectifs encore plus importants, comme les robots industriels largement utilisés dans le secteur manufacturier, ou l’infrastructure qui relie les villes intelligentes d’aujourd’hui. L’extorsion en ligne est destinée à prendre le chemin de la prise d’otages des serveurs en fonction de tout type de périphérique connecté insuffisamment protégé, y compris les périphériques intelligents ou les infrastructures critiques. Le retour sur investissement (ROI) et la facilité avec laquelle les cybercriminels peuvent créer, lancer et tirer profit de cette menace, assureront la poursuite de leur avenir.

Défense, prévention et éradication

Il n’y a pas de solution miracle lorsqu’il s’agit d’arrêter le ransomware, mais une approche multiple qui l’empêche d’atteindre les réseaux et les systèmes est la meilleure façon de minimiser les risques.

– Sauvegarder les fichiers importants à l’aide de la règle 3-2-1: créez 3 copies de sauvegarde sur 2 supports différents avec 1 sauvegarde dans un emplacement distinct.

– Mettre à jour régulièrement les logiciels, les programmes et les applications afin de vous protéger contre les dernières vulnérabilités.

– Avoir un antivirus, un anti-spam, une sécurité Web installée sur les systèmes.

– Surveiller l’activité des utilisateurs, surveiller l’activé sur les systèmes et réseaux pour repérer les éventuelles anomalies.

– Éviter d’ouvrir les emails non vérifiés ou de cliquer sur les liens qui y sont intégrés.

Ne paniquez pas! Nous pouvons vous aider. Contactez-nous.

Quel que soit le type de ransomware que vous rencontrez, l’équipe d’Albys peut intervenir et vous fournir les conseils nécessaires.

Les liens utiles

Trend Micro:

https://www.trendmicro.com/en_us/forHome/products/free-tools.html?cm_mmc=VURL:www.trendmicro.com-_-VURL-_-/tools/us.html-_-1:1

https://esupport.trendmicro.com/en-us/home/pages/technical-support/1105975.aspx?_ga=2.130767437.319345011.1507203808-15916345.1505901283

https://success.trendmicro.com/solution/1114221

No more ransom project

https://www.nomoreransom.org/en/index.html

 

La liste des ransomware connue à ce jour

 

Family Name Aliases Description
ACCDFISA Anti Cyber Crime Department of Federal Internet Security Agency Ransom First spotted early 2012; Encrypts files into a password-protected; Cybercriminals behind this ransomware asks payment thru Moneypak, Paysafe, or Ukash to restore the files and unlock the screen; Known as a multi-component malware packaged as a self-extracting (SFX) archive; May come bundled with third party applications such as Sdelete and WinRAR
ANDROIDOS_LOCKER First mobile ransomware spotted; Uses Tor, a legitimate service that allows anonymous server connections; Users with mobile devices affected by this malware may find the files stored in their mobile device rendered useless and held for ransom
CRIBIT BitCrypt Similar to CRILOCK with its use of RSA-AES encryption for target files; Version 1 uses RSA-426; Version 2 uses RSA-1024; Appends the string bitcryp1 (for version 1) and bitcrypt2 (for version 2) to the extension name of the files it encrypts
CRILOCK CryptoLocker Employs Domain Generation Algorithm (DGA) for its C&C server connection; October 2013 – UPATRE was found to be the part of the spam mail that downloads ZBOT, which further downloads CRILOCK
CRITOLOCK Cryptographic locker Uses advanced encryption standard (AES-128) cryptosystem; The word Cryptolocker is written in the wallpaper it uses to change an affected computer’s wallpaper
CRYPAURA PayCrypt Encrypts files and appends the corresponding email address contact for file decryption; PayCrypt version appends .id-{victim ID}-paycrypt@aol.com to files it encrypts
CRYPCTB Critroni, CTB Locker, Curve-Tor-Bitcoin Locker Encrypts data files; Ensures there is no recovery of encrypted files by deleting its shadow copies; Arrives via spam mail that contains an attachment, actually a downloader of this ransomware; Uses social engineering to lure users to open the attachment; Uses Tor to mask its C&C communications
CRYPDEF CryptoDefense To decrypt files, it asks users to pay ransom money in bitcoin currency
CRYPTCOIN CoinVault Encrypts files and demands users to pay in bitcoin to decrypt files; Offers a one-time free test to decrypt one file
CRYPTFILE Uses unique public key generated RSA-2048 for file encryption and also asks users to pay 1 bitcoin to obtain private key for decrypting the files
CRYPWALL CryptoWall, CryptWall, CryptoWall 3.0, Cryptowall 4.0 Reported to be the updated version of CRYPTODEFENSE; Uses bitcoin currency as mode of payment; Uses Tor network for anonymity purposes; Arrives via spam mail, following UPATRE-ZBOT-RANSOM infection chain; CryptoWall 3.0 comes bundled with FAREIT spyware; Cryptowall 4.0 encrypts file name of files it encrypts and follows an updated ransom note, it also comes from spam as a JavaScript attachment, and may be downloaded by TROJ_KASIDET variants
CRYPTROLF Shows troll face image after file encryption
CRYPTTOR Changes the wallpaper to picture of walls and asks users to pay the ransom
CRYPTOR batch file ransomware Arrives thru DOWNCRYPT; A batch file ransomware capable of encrypting user files using GNU Privacy Guard application
DOWNCRYPT batch file ransomware Arrives via spam email; Downloads BAT_CRYPTOR and its components such as a decoy document
VIRLOCK VirLock, VirRansom Infects document files, archives, and media files such as images
PGPCODER Discovered in 2005; first ransomware seen
KOLLAH One of the first ransomware that encrypts files using certain extension names; Target files include Microsoft Office documents, PDF files, and other files deemed information-rich and relevant to most users; Adds the string GLAMOUR to files it encrypts
KOVTER Payload of the attack related to YouTube ads that lead to the Sweet Orange exploit kit
MATSNU Backdoor that has screen locking capabilities; Asks for ransom
RANSOM Generic detection for applications that restrict the users from fully accessing the system or encrypts some files and demands a ransom in order to decrypt or unlock the infected machine
REVETON Police Ransom Locks screen using a bogus display that warns the user that they have violated federal law; Message further declares the user’s IP address has been identified by the Federal Bureau of Investigation (FBI) as visiting websites that feature illegal content
VBUZKY 64-bit ransomware; Attempts to use Shell_TrayWnd injection; Enables TESTSIGNING option of Windows 7
CRYPTOP Ransomware archiver Downloads GULCRYPT and its components
GULCRYPT Ransomware archiver Archives files with specific extensions; Leaves a ransom text file containing the instructions on who to contact and how to unpack the archives containing user’s files
CRYPWEB PHP ransomware Encrypts the databases in the web server making the website unavailable; Uses HTTPS to communicate with the C&C server; Decrypt key is only available in the C&C server
CRYPDIRT Dirty Decrypt First seen in 2013 before the emergence of Cryptolocker
CRYPTORBIT Detection for images, text, and HTML files which contain ransom notes that are indicators of compromised (IOC)
CRYPTLOCK TorrentLocker Poses as CryptoLocker; newer variants display crypt0l0cker on the affected computer; uses a list of file extensions that it avoids encrypting, compared to usual ransomware that uses a list of file extensions to encrypt – this allows CRYPTLOCK to encrypt more files while making sure the affected computer still runs, ensuring users know that their files are encrypted and access to the Internet to pay the ransom is still present
CRYPFORT CryptoFortress Mimics TorrentLocker/CRYPTLOCK user interface; Uses wildcards to search for file extensions; encrypts files in shared folders
CRYPTESLA TeslaCrypt User interface is similar to CryptoLocker; encrypts game-related files; Versions 2.1 and 2.2 appends encrypted files with .vvv and .ccc; Version 3.0 has an improved encryption algorithm and appends .xxx, .ttt, and .mp3 to files it encrypts
CRYPVAULT VaultCrypt Uses GnuPG encryption tool; downloads hacking tool to steal credentials stored in web browsers; uses sDelete 16 times to prevent/hinder recovery of files; has a customer support portal; is a batch script crypto-ransomware
CRYPSHED Troldesh First seen in Russia; added English translation to its ransom note to target other countries; aside from appending .xtbl to the file name of the encrypted files, it also encodes the file name, causing affected users to lose track of what files are lost
SYNOLOCK SynoLocker Exploits Synology NAS devices’ operating system (DSM 4.3-3810 or earlier) to encrypt files stored in that device; has a customer support portal
KRYPTOVOR Kriptovor Part of a multi-component infection; aside from its crypto-ransomware component, it has an information stealing component that steals certain files, processes list, and captures desktop screenshot; uses an open source Delphi library called LockBox 3 to encrypt files
CRYPFINI CryptInfinite, DecryptorMax Arrives via spam with macro attachment, the spam mail usually pretends to be a job application linked to a Craigslist post; Appends .crinf files
CRYPFIRAGO Uses Bitmessage for communication with its creators; Appends .1999 or .bleep to files it encrypts
CRYPRADAM Radamant May arrive via exploit kits; Appends .rdm to files it encrypts
CRYPTRITU Ransom32 Known as the JavaScript ransomware
CRYPBOSS CrypBoss Appends .crypt to files it encrypts
CRYPZUQUIT Zuquitache, Fakben Known as the ransomware-as-a-service (RaaS) malware
CRYPDAP PadCrypt Has live chat support for affected users; Arrives via spam
CRYPHYDRA HydraCrypt Based on leaked source code of CrypBoss; Arrives via spam
LOCKY Locky Renames encrypted files to hex values; Appends .locky to files it encrypts; Arrives via spam with macro-embedded .DOC attachment, similar to the arrival of DRIDEX malware
CERBER Cerber Encrypts the file name and appends it with .cerber; Drops a .VBS file that makes the computer speak to the victim
CRYPSAM SAMSAM Uses exploits on JexBoss open source server application and other Java-based application platforms to install itself in targeted Web application servers
PETYA Petya Causes blue screen and displays its ransom note at system startup
WALTRIX CRYPTXXX, WALTRIX, Exxroute Arrives as a .DLL file; Distributed by the Angler Exploit Kit; Locks screens and encrypts all files; Appends the extension .crypt
CRYPSALAM Salam Encrypts files and drops a ransom note formatted as {month}-{day}-{year}-INFECTION.TXT; Asks the users to contact the ransomware creator via email to decrypt the files
JIGSAW Jigsaw Deletes files and increases ransom amount each hour; Some variants have live chat support for its victims; Some use porn-related ransom messages
MIRCOP Mircop Arrives as spam with an attached macro-enabled document abusing Windows PowerShell to execute; Ransom note diplays hooded figure wearing a Guy Fawkes mask
JSRAA RAA Written in JScript, which is designed for Windows Scripting Host engine in Internet Explorer; does not run in Microsoft Edge browser
GOOPIC Goopic Arrives via Rig Exploit Kit; Uses a professionally-designed interface
APOCALYPSE Apocalypse Appends the .encrypted extension to encrypted files; Requires the victim to email the hacker for ransom instructions
JOKOZY KozyJozy Appends to encrypted files a random extension name selected from an array using the pattern .31392E30362E32303136_(0-20)_LSBJ1
CRYPMIC Has similar routines with WALTRIX
STAMPADO Stampado Has similarities to JIGSAW ransom notes, reportedly sold in underground markets with a lifetime license
Leave a reply