InfoMars.fr

Salut !

 

Les lecteurs d'Infomars sont sans doute assez prévenus contre les atteintes à l'intégrité des données contenues dans leurs ordinateurs sous Windows pour ne pas avoir été piégés par une des plaies qui les affectent, le ''ransomware'' Cryptolocker, qui sévit surtout depuis le début du mois de septembre 2013.

 

Cryptolocker se propage par le biais de l'ingénierie sociale. Habituellement, ce malware rançonneur se cache dans une pièce jointe à un message de phishing, dont l'origine apparente peut être un copieur professionnel qui délivre un fichier .pdf d'une image numérisée, un service de livraison réputé comme UPS ou FedEx qui donne des informations sur le suivi d'un envoi, une lettre de banque : relevé ou confirmation de virement etc.

Grâce à la possibilité de manipulation des extensions cachées de fichiers (1), l'expéditeur ajoute simplement ".pdf" à la fin du fichier (Windows masque le .exe). L'utilisateur est alors dupé ; il pense que la pièce jointe est un fichier PDF inoffensif d'un expéditeur de confiance.

 

Les fichiers qu'il chiffre sont principalement utilisés par des logiciels très répandus comme ceux de bureautique (MicrosoftOffice, LibreOffice ..), d'imagerie etc.

*.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe .. (2)

 

Quand Cryptolocker trouve un fichier correspondant à une des extensions ciblées, il le chiffre en utilisant un ensemble de techniques RSA et AES, avec une clé publique qu'il enregistre au milieu d'autres informations dans la clé de Registre « HKEY_CURRENT_USER\Software\CryptoLocker ». La clé privée pour déchiffrer les fichiers infectés est bien loin de l'ordinateur infecté, hors d'atteinte dans un serveur de commande et de contrôle ''C&C'' (3).

Il informe alors l'utilisateur que ses fichiers ont été chiffrés et qu'il doit utiliser des cartes prépayées pour envoyer des centaines de dollars (à l'origine de $100 à $700), aux auteurs du malware.

Aimablement, il laisse la possibilité de régler en Bitcoins (à l'origine 2Ⓑ).

 

 

Depuis la détection de Cryptolocker, les principaux outils de protection ont publié des mises à jour. Ils détectent les clés du Registre Windows utilisées et les suppriment. Ceci a pour effet de couper la liaison entre les proies et les rançonneurs. D'autre part, certains accès par aux serveurs C&C ont été bloqués (4) avec les meilleures intentions du monde.

Les fichiers restent chiffrés et les décrypter un à un par ''brute force'' ou autre technique est à la limite de l'inconcevable. Heureux sont ceux qui disposaient de sauvegardes inaccessibles à Cryptolocker au moment de l'infection.

 

Ceux qui tiennent à leurs fichiers maintenant chiffrés peuvent être tentés par un nouveau contact avec les auteurs de Cryptolocker. Ceux-ci ont mis en place des sites ''Decryption Service'' (5) qui se donnent presque l'air d'une assistance aux victimes où elles peuvent se rendre pour payer la rançon : actuellement de $400 à $2.000 .. jusqu'à 10 ฿ .. (6).

 

« Ce service vous permet d'acheter une clé privée et un ''decrypteur'' pour les fichiers chiffrés par CryptoLocker.
Si vous avez déjà acheté la clé privée en utilisant CryptoLocker, alors vous pouvez télécharger la clé privée et décrypter gratuitement. »

 

@+

 

[1] Afficher ou masquer les extensions de noms de fichiers (Microsoft)

[2] CryptoLocker Ransomware Information Guide and FAQ (Lawrence Abrams .. BleepingComputer .. 14 octobre 2013)

[3] Cryptographie à clé publique (Verisign) .. Command and Control Server (DdoSPedia .. Radware)

[4] DNS sinkhole (.pdf Sans Institute) .. DNS-BH – Malware Domain Blocklist (MalwareDomains)

[5] Adresses actuelles pour accéder à un ''Decryption Service''

http://yocmvpiarwmfgyg.net/
http://93.189.44.187/
http://f2d2v7soksbskekh.onion/

[6] CryptoLocker developers charge 10 bitcoins to use new Decryption Service (Grinler .. BleepingComputer .. 02 novembre 2013)

 

Voir aussi ..

.. Threat Outbreak Alert: Email Messages Distributing Malicious Software (Cisco .. 11 octobre 2013)

.. Destructive malware "CryptoLocker" on the loose - here's what to do (Paul Ducklin .. NakedSecurity .. Sophos .. 12 octobre 2013)

.. Cryptolocker Warning .. Be Proactive (.pdf Thirdtier.net) ..

.. Cryptolocker Prevention (Foolish IT .. 18 octobre 2013)

..

 

Prévention contre Cryptolocker et d'autres malwares …

 

Foolish IT propose un outil gratuit, CryptoPrevent (sa version ''Premium'' est payante).

CryptoPrevent est un petit utilitaire pour verrouiller n'importe quel système d'exploitation Windows (XP, Vista, 7, 8 et 8.1) afin de prévenir l'infection par le malware/ransomware Cryptolocker qui crypte les fichiers personnels, puis propose le décryptage moyennant le paiement d'une rançon.

 

 

Ce n'est peut-être pas l'idéal, mais si votre système de défense n'est pas très performant, CryptoPrevent peut s'avérer un complément de grande utilité.

 

Comme beaucoup des utilitaires de Foolish IT, CryptoPrevent est ''portable''.

 

@+

Hello,

 

Bien que Cryptolocker semble viser actuellement les PCs US (pas encore de cas d'infection sur les forums sécu Français), il est assez simple de s'en prémunir avec un outil natif Windows :

http://www.midsommar...crypto-locker-0

Hello,

 

Bien que Cryptolocker semble viser actuellement les PCs US (pas encore de cas d'infection sur les forums sécu Français), il est assez simple de s'en prémunir avec un outil natif Windows :

http://www.midsommar...crypto-locker-0

L'éditeur de stratégie de sécurité locale n'est présent qu'à partir des versions pro de Windows 7. Dans la version familiale, il est absent.

 

L'éditeur de stratégie de sécurité locale n'est présent qu'à partir des versions pro de Windows 7. Dans la version familiale, il est absent.

 

 

Arf, effectivement, il est disponible que pour les éditions Pro, Entreprise ou Intégrale.

 

Pour les autres, il faudra se tourner soit vers CryptoPrevent, ou l'outil gratuit de BitDefender qui propose une vaccination :

BDAnticryptoLocker Release.exe

 

 

L'éditeur de stratégie de sécurité locale n'est présent qu'à partir des versions pro de Windows 7. Dans la version familiale, il est absent.

 

 

Arf, effectivement, il est disponible que pour les éditions Pro, Entreprise ou Intégrale.

 

Pour les autres, il faudra se tourner vers l'outil gratuit de BitDefender qui propose une vaccination :

BDAnticryptoLocker Release.exe

 

Et pourquoi pas vers CryptoPrevent "FREE" ?

 

@+

 

Et pourquoi pas vers CryptoPrevent "FREE" ?

 

@+

 

 

Et pourquoi pas, en effet

 

Un simple oubli, c'est modifié.

Salut,


J'ai jeté un oeil rapide sur ces deux programmes pendant ma pause café ^^
Ils créent des règles basées sur la Stratégie de Restriction Logicielle.

Structure d'une règle: création d'un GUID (Globally Unique IDentifier) + 3 valeurs

Exemple:

Key = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer \CodeIdentifiers\131072\Paths\{1A4023EF-550F-43E3-876B-73D8692DDB79}


Création aléatoire d'un GUID (Globally Unique IDentifier)- Ex: {1A4023EF-550F-43E3-876B-73D8692DDB79} - 4 octets / 3 groupes de 2 octets / 6 octets
3 valeurs:
a) Description= noisette
b) ItemData= le chemin du programme (ex: %LocalAppData%\noisette.exe)
c) SaferFlags= 00000000 (remarque: Dword) Drapeau positionné sur 0

Créer et éditer manuellement ses propres règles de Stratégie de Restriction Logicielle est possible sans l'aide de l'éditeur de stratégie de groupe de MS.

Merci pour cette explication

 

Je suppose que le choix de "Noisette" est le pur fruit du hasard?

Vigen, tu as vraiment l'esprit tordu.... comme moi

Salut,


J'ai jeté un oeil rapide sur ces deux programmes pendant ma pause café ^^
Ils créent des règles basées sur la Stratégie de Restriction Logicielle.

Structure d'une règle: création d'un GUID (Globally Unique IDentifier) + 3 valeurs

Exemple:

Key = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer \CodeIdentifiers\131072\Paths\{1A4023EF-550F-43E3-876B-73D8692DDB79}


Création aléatoire d'un GUID (Globally Unique IDentifier)- Ex: {1A4023EF-550F-43E3-876B-73D8692DDB79} - 4 octets / 3 groupes de 2 octets / 6 octets
3 valeurs:
a) Description= noisette
b) ItemData= le chemin du programme (ex: %LocalAppData%\noisette.exe)
c) SaferFlags= 00000000 (remarque: Dword) Drapeau positionné sur 0

Créer et éditer manuellement ses propres règles de Stratégie de Restriction Logicielle est possible sans l'aide de l'éditeur de stratégie de groupe de MS.

Quand je dis que tu es précieux pour ce forum Tristan. Tu viens encore de le prouver. Si on a pas l'éditeur de stratégie de groupe MS, comment doit-on faire ? J'ai besoin d'un cours, et je pense que d'autres apprécieront aussi.

hello les amis

 

la nouvelle version bêta de hitmanpro alert de surfright intègre un module de protection contre les logiciels de ransom^^

 

http://www.surfright.nl/en/cryptoguard

 

ya une longue discussion en anglais sur le forum wilders security sur ce soft prometteur^^

Salut Th-Crown,



Windows, contrairement à l'idée répandue, est un système éminemment complet en terme de sécurité. La voix du web a fait des dégâts. D'un forum à un autre, d'un blog à un autre, l'inscience a tissé sa toile sur tous les continents du WEB. Bref, je m´égare quelque peu. Mes activités sont chronophages. Mais bon, j'aime bien de temps à autre répondre positivement à une personne que je trouve sympathique. Ça me permet de m'humaniser un peu ^^
Précise moi exactement ce que tu souhaites. Un programme avec des fonctions imaginées par tes soins ? Sache que tout est possible. Ne te pose pas la question des limites techniques, quand j'aperçois une noisette sur mon chemin, je la brise à l'aide de mon nutcracker (casse-noisette). C'est propre et efficace ^^

Recommence à faire suer tristan, c'est super ... moi aussi j'ai des occupations chronophages, monsieur le sauveur du web ...

 

 

il est de toute façon des noisettes que tu ne risques pas de rencontrer, il faudrait pour ça oser sortir de temps en temps dans la nature.

En fait, Tristan (je reconnais mon manque de connaissances en ce qui concerne le registre), d'après ce que j'ai compris de ta démarche, tu ajoutes une données dans le registre. Mais J'aimerais plus de descriptions sur la façon de le faire.

 

Par exemple d'où sortent les 131072 dans ton exemple : Key = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer \CodeIdentifiers\131072\Paths\{1A4023EF-550F-43E3-876B-73D8692DDB79} ? Etc.

@Th-Crown


Le chemin de la clé officielle est le suivant:


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\

Si le string \0\path\ n'existe pas, le créer.

Tu dois:

a) Générer un GUID (clé) - Tu peux le faire manuellement, sinon: http://www.guidgen.com/
b) Créer une valeur chaîne = Description (nom de la valeur). Tu es libre d'écrire ce que tu veux.
c) Créer une valeur chaîne = ItemData (nom de la valeur) - Cette valeur correspond au chemin + objet
d) Créer une valeur DWORD 32bits = SaferFlags (nom de la valeur)


Tu devrais obtenir un résultat ressemblant à ça:


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{e159ebfb-0d72-4d0f-8c71-d9de62a6bf16}

Description REG_SZ la noisette est passée par là
ItemData REG_SZ %userprofile%\AppData\Roaming\*\*.exe
SaferFlags REG_DWORD 0x00000000 (0)



"Par exemple d'où sortent les 131072 dans ton exemple"
Oublie cet exemple, c'était une manipulation personnelle.


@Noisette

Les mots pour le dire... ^^

Hello,

 

Une analyse de Symantec concernant le ransomware Browlock, le plus actif actuellement :

 

http://www.symantec....king-ransomware

 

Trad. Google :

http://translate.goo...etGkyWZ2KSXUbDA

 

Coup de chapeau au passage à Malekal (qui est cité dans ce billet) pour tout le travail accompli

..

 

Le ransomware Cryptolocker aurait déjà infecté plus de 250.000 machines à travers le monde (Michel Beck .. PCWorld .. 26 décembre 2013)

 

En France, les machines touchées par Cryptolocker représentent tout de même 5,8% du parc mondial infecté et placent l'hexagone au 4e rang des cibles préférées du ransomware.

 

@+