Une recrudescence de ransomware de type Cryptolocker est actuellement constatée par les éditeurs de sécurité. Ce cryptolocker utilise de nouveaux vecteurs de propagation (tunnel SSL).

Cet alerte de sécurité complète l’article que nous avions publié le 3/12/2014 : « Cryptolocker, attaque massive de type ransonware ».

Explications

Qu’est-ce que le Cryptolocker ?

Le CryptoLocker est un logiciel malveillant dit « rançongiciel » (ransomware) qui se propage par courrier électronique à l’ouverture d’une pièce jointe, d’un fichier zippé. En très peu de temps des dizaines de milliers de données sont « prises en otages et rançonnées ».

A l’ouverture d’une pièce jointe, certains documents des disques internes ou accessibles par le réseau sont transformés en chiffres. Les hackers proposent de rendre les données après le paiement d’une rançon dans un délai imparti, au-delà duquel les documents sont définitivement perdus (généralement 72 heures).

Comment fonctionne le CryptoLocker ?

C’est un code malveillant classique qui se copie dans le dossier temporaire au moment du lancement.

La persistance du code est assurée par l’ajout de deux clés de registre dans le profil de l’utilisateur courant.

Une fois la persistance établie sur la machine de la victime, le rançongiciel va utiliser son algorithme de génération de noms de domaine (détaillé dans la section suivante) pour identifier le ou les serveurs de contrôle et de commande avec lesquels il va pouvoir communiquer. Lorsque le serveur a été identifié, CryptoLocker demande au serveur de contrôler et de commander la génération d’un couple de clés RSA 2048 bits.

L’une d’elle est stockée sur le serveur, l’autre est envoyée au logiciel malveillant pour chiffrer les données jugées importantes ( fiches de paies, analyses techniques, délibérations, images, jeux, musiques, cours, etc.)

A l’issue, une fenêtre s’affiche pour indiquer à la victime la marche à suivre pour payer la rançon.

exemple cryptolocker

Cette fenêtre utilise parfois les identifiants graphiques de l’État (police ou gendarmerie nationales).

exemple cryptolocker imitation etat

La clé de déchiffrement ne peut être reçue qu’après paiement.

Les montants de la rançon oscillent entre 100 et 500 dollars (environ 300€). La rançon peut dans certains cas être acquittée en bitcoins (monnaie virtuelle utilisé sur certains réseaux internet).

Les spécificités de cette variante

Mêmes si la détection et la suppression de cette nouvelle variante est correctement identifié chez les éditeurs, la restauration des fichiers chiffrés est considérée comme impossible, et c’est précisément une des caractéristiques de cette nouvelle variante, par rapport aux précédentes : il s’agit d’une combinaison d’AES et de RSA.

Pour résumer, le malware génère une clé AES aléatoire (utilisée pour le chiffrement des données), puis chiffre cette clé via une clé publique RSA. La clé privée RSA est ainsi nécessaire pour déchiffrer la clé AES aléatoire, or elle n’est disponible que pour le créateur du malware. Avec cette méthode, il est quasiment impossible de déchiffrer les fichiers.

Comment se protéger de Cryptolocker

 Antivirus

En rappel, pensez à :

  • Protéger vos serveurs (antimalwares + patchs à jour ou virtual patching Os et applications : Deep security).
  • Protéger vos postes (antimalwares + patchs à jour ou virtual patching : Vulnerability protection).
  • Vérifier vos sauvegardes et faire des tests de restauration.
  • Bloquer autant que possible dans le flux de messagerie les exe, zip, scr, … autant que possible.
  • Communiquer à vos utilisateurs de ne pas ouvrir des pièces dans les messages qu’ils n’ont pas sollicités directement, 98% des attaques passent pas le biais de la messagerie (donc à travers vos protections Firewall et passerelles).

Plus d’informations : https://security-tracker.debian.org/tracker/CVE-2015-0235

 Ne pas payer

Le Ransonware propose de payer afin de récupérer la clé de déchiffrement afin de récupérer les données sous une durée de 72h :

exemple cryptolocker 3

Il n’y a absolument aucune garantie de récupérer la clé de déchiffrement et la plupart des clients ayant versé le premier versement se voit relancée avec un montant beaucoup plus important, toujours sans aucune garantie.

Actions

En conclusion, vous devez mettre à jour de manière urgente votre système antiviral et vérifier vos sauvegardes.

En cas d’infection ayez le reflex d’isoler du réseau les machines infectées afin d’arrêter la propagation du ransonware qui utilise les mêmes vecteurs de propagation que les malware et trojan (share réseaux,…).

Les éditeurs de sécurité tels  que TrendMicro ou Symantec proposent un outil autonome permettant la désinfection d’un poste mais ne déchiffrent pas les données infectées.

En cas d’infection, il n’existe aujourd’hui aucun moyen pour récupérer les données chiffrées sans passer par une restauration de la données. La clé RSA ou AES 256 utilisée étant forte, il est impossible de récupérer la donnée sans la clé d’origine ayant servi au chiffrement de la donnée.

Vérifier également l’état de vos passerelles de filtrage Email sur la partie antivirale/antispam afin et sensibilisez vos utilisateurs à ne surtout pas ouvrir les pièces jointes provenant d’un utilisateur non fiable ou ayant une extension « exotique ». Les ransonwares se propagent encore actuellement dans 98% des cas par email.

Article rédigé par Patrice Guihaire – Consultant Sécurité.

Cet article vous a intéressé ? Vous souhaitez nous faire part d’un retour d’expérience ? Réagissez, postez votre commentaire.

Vous souhaitez échanger en direct avec nos experts sécurité ? Appelez-nous au 0820 201 179 !

Pour en savoir plus,

Sources : http://www.interieur.gouv.fr , http://www.trendmicro.fr

Alerte sécurité du  3/12/2014 : « Cryptolocker, attaque massive de type ransonware ».

https://security-tracker.debian.org/tracker/CVE-2015-0235

Nos précédentes alertes sécurité :