Aller au contenu


Ransomware

ransomware MBR master boot record rançon blocage système

  • Vous ne pouvez pas répondre à ce sujet
8 replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 14 avril 2012 - 08:37

Salut !

Ce n'est pas le premier maliciel fait pour soutirer de l'argent aux ''pôvres'' gens qui font confiance à Microsoft, mais il mérite quand même d'être signalé parce qu'il attaque le très vulnérable MBR (Master Boot Record).

Selon TrendLabs (Trend Micro), le MBR est pris en otage pour rançonner les propriétaires de PCs mal protégés.

Trend Micro detects this ransomware as TROJ_RANSOM.AQB and the infected MBR as BOOT_RANSOM.AQB.

Image IPB
Ce cheval de Troie arrive dans le système sous forme d'un fichier injecté par un autre maliciel ou un fichier téléchargé à l'insu des utilisateurs lorsqu'ils visitent des sites malveillants.

« Sur la base de notre analyse, ce malware copie le MBR d'origine et l'écrase avec son propre code malveillant» … «Juste après l'exécution de cette routine, il redémarre automatiquement le système pour que l'infection prenne effet ».

Lorsque le système redémarre, le ''ransomware'' informe la victime que le système est bloquée et exige 920 Hryvnia (UAH) à payer par l'intermédiaire de QIWI Les utilisateurs finaux ont droit à cinq tentatives de saisie du code de déverrouillage à 12 chiffres qui pourrait bien être « 380 682 699 268 ».

Ceux qui ne veulent pas payer lorsque le code signalé ci-dessus ne fonctionne pas, peuvent évidemment essayer de réparer le MBR avec un Live-CD d'outils système.

F-Secure et Dr.Web ont intercepté une variante de ce ''ransomware''. Lors de son exécution il crypte tous les fichiers en leur ajoutant une extension .EnCiPhErEd (voir → ICI … Merci darksky1985 !).

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#2 Darksky

Darksky

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 212 Messages :
  • Gender:Male
  • Location:Belgique

Posté 14 avril 2012 - 11:28

Au final c'est une attaque sérieuse. Car des différents articles et témoignages que l'on peut lire, on se rend compte que pour certains ça a commencé avec le fameux virus gendarmerie, qu'il ont tenté d'éradiquer avec les moyens connu (ceux que Loumax utilise dans ses désinfections), mais qu'après s'être débarrassé de celui-là, en rebootant leur machine, leur fichiers étaient cryptés.

Avec celui que tu nous "présentes", la boucle est bouclée...
Il s'attaque à toutes les parties de la machine.

C'est vraiment une belle saloperie. Et vu son exploitation (et sa ré-exploitation, 1 an après), il doit rapporter pas mal de fric aux cybercriminels pour qu'ils le relance comme ça.
Croisons les doigts pour qu'au moins la réparation du MBR fonctionne (cce qui ferait déjà un gros soucis de moins) et que les éditeurs de sécurité ou les gens qui bossent là-dessus bénévolement parviennent à trouver la parade pour contrer cette vague d'attaque.

"Ils ne savaient pas que c'était impossible, alors ils l'ont fait."

Mark Twain


#3 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 14 avril 2012 - 11:40

On serait tentés de dire qu'avec ce genre d'infection, le plus problématique à l'heure actuelle reste les fichiers cryptés, suivant bien entendu l'importance des fichiers corrompus :/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#4 manzai

manzai

    Manzailleur

  • Zimien
  • PipPipPipPipPipPipPipPipPip
  • 2 521 Messages :
  • Gender:Male
  • Location:Molsheim (Alsace)

Posté 14 avril 2012 - 12:21

Les désinfections seront plus compliquer.

Il existe des tools pour réparer le MBR mais si l'helpé fait une fausse manip , il aura peu de chance d'avoir un MBR sain :/

Pour pour le moment , il n'y a aucun tool pour déchiffrer les fichier locké :/

Ce message a été modifié par manzai - 14 avril 2012 - 12:22 .

J'ai : Un PC, un navigateur, un av et un fai, ça te va ?!

#5 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 14 avril 2012 - 14:59

On serait tentés de dire qu'avec ce genre d'infection, le plus problématique à l'heure actuelle reste les fichiers cryptés, suivant bien entendu l'importance des fichiers corrompus :/

Pour pour le moment , il n'y a aucun tool pour déchiffrer les fichier locké :/

Si, il en existe mais ils ne sont pas faciles à trouver ou très chers. De plus pour trouver les clés de décryptage il faut parfois beaucoup de temps et du matériel surpuissant. Si une clé d'algorithme AES est utilisée c'est mission impossible pour un particulier et même les "pros" jusqu'ici.
Il est clair qu'avoir ses données importantes sur un disque réseau ou un périphérique USB mis en service uniquement quand "tout va bien" est une protection simple et assez efficace mais peu usitée.

Croisons les doigts pour qu'au moins la réparation du MBR fonctionne (cce qui ferait déjà un gros soucis de moins) et que les éditeurs de sécurité ou les gens qui bossent là-dessus bénévolement parviennent à trouver la parade pour contrer cette vague d'attaque.

Il existe des tools pour réparer le MBR mais si l'helpé fait une fausse manip , il aura peu de chance d'avoir un MBR sain :/

Réparer un MBR n'est pas bien compliqué. J'en ai rafistolé des dizaines et des dizaines.
Le plus simple pour se dépatouiller en vitesse est d'avoir un "dual-boot" avec deux MBR et un chargeur de système d'exploitation de type GRUB situé sur un autre disque que celui de Windows.
Autrement il existe diverses solutions ... exemples :
... Réparer le MBR (Master Boot Record)
... Réinstaller un Master Boot Record compatible Windows
... Les outils pour MBR de UBCD ...
Et si, à cause d'une manipulation intempestive, on flingue un MBR déjà pourri, on recommence. :transpi:

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#6 Darksky

Darksky

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 212 Messages :
  • Gender:Male
  • Location:Belgique

Posté 14 avril 2012 - 16:19

C'est vrai oui. Je n'ai du en réparer beaucoup depuis que je suis dans l'informatique, une "chance" sans doute. J'y suis toujours parvenu avec les commandes "classiques" de windows.
Reste a espérer que le maliciel ne comporte pas une routine pour "refaire" son MBR pourri. Auquel cas on serait condamné à le réparer sans cesse jusqu'à son éradication.

"Ils ne savaient pas que c'était impossible, alors ils l'ont fait."

Mark Twain


#7 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 14 avril 2012 - 16:48

Si, il en existe mais ils ne sont pas faciles à trouver ou très chers. De plus pour trouver les clés de décryptage il faut parfois beaucoup de temps et du matériel surpuissant. Si une clé d'algorithme AES est utilisée c'est mission impossible pour un particulier et même les "pros" jusqu'ici.
Il est clair qu'avoir ses données importantes sur un disque réseau ou un périphérique USB mis en service uniquement quand "tout va bien" est une protection simple et assez efficace mais peu usitée.

Je t'invite à lire ceci ;)
http://forum.malekal...15.html#p289899


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#8 manzai

manzai

    Manzailleur

  • Zimien
  • PipPipPipPipPipPipPipPipPip
  • 2 521 Messages :
  • Gender:Male
  • Location:Molsheim (Alsace)

Posté 14 avril 2012 - 21:45

On serait tentés de dire qu'avec ce genre d'infection, le plus problématique à l'heure actuelle reste les fichiers cryptés, suivant bien entendu l'importance des fichiers corrompus :/

Pour pour le moment , il n'y a aucun tool pour déchiffrer les fichier locké :/

Si, il en existe mais ils ne sont pas faciles à trouver ou très chers. De plus pour trouver les clés de décryptage il faut parfois beaucoup de temps et du matériel surpuissant. Si une clé d'algorithme AES est utilisée c'est mission impossible pour un particulier et même les "pros" jusqu'ici.
Il est clair qu'avoir ses données importantes sur un disque réseau ou un périphérique USB mis en service uniquement quand "tout va bien" est une protection simple et assez efficace mais peu usitée.

Croisons les doigts pour qu'au moins la réparation du MBR fonctionne (cce qui ferait déjà un gros soucis de moins) et que les éditeurs de sécurité ou les gens qui bossent là-dessus bénévolement parviennent à trouver la parade pour contrer cette vague d'attaque.

Il existe des tools pour réparer le MBR mais si l'helpé fait une fausse manip , il aura peu de chance d'avoir un MBR sain :/

Réparer un MBR n'est pas bien compliqué. J'en ai rafistolé des dizaines et des dizaines.
Le plus simple pour se dépatouiller en vitesse est d'avoir un "dual-boot" avec deux MBR et un chargeur de système d'exploitation de type GRUB situé sur un autre disque que celui de Windows.
Autrement il existe diverses solutions ... exemples :
... Réparer le MBR (Master Boot Record)
... Réinstaller un Master Boot Record compatible Windows
... Les outils pour MBR de UBCD ...
Et si, à cause d'une manipulation intempestive, on flingue un MBR déjà pourri, on recommence. :transpi:

@+


Merci de l'info Txon ;)
J'ai : Un PC, un navigateur, un av et un fai, ça te va ?!

#9 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 15 avril 2012 - 16:23

Ceux s'attaquant a la MBR ce développe depuis Novembre 2011 environ:

http://news.drweb.co...&c=9&lng=en&p=2



0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)