Salut !
Les lecteurs d'Infomars sont sans doute assez prévenus contre les atteintes à l'intégrité des données contenues dans leurs ordinateurs sous Windows pour ne pas avoir été piégés par une des plaies qui les affectent, le ''ransomware'' Cryptolocker, qui sévit surtout depuis le début du mois de septembre 2013.
Cryptolocker se propage par le biais de l'ingénierie sociale. Habituellement, ce malware rançonneur se cache dans une pièce jointe à un message de phishing, dont l'origine apparente peut être un copieur professionnel qui délivre un fichier .pdf d'une image numérisée, un service de livraison réputé comme UPS ou FedEx qui donne des informations sur le suivi d'un envoi, une lettre de banque : relevé ou confirmation de virement etc.
Grâce à la possibilité de manipulation des extensions cachées de fichiers (1), l'expéditeur ajoute simplement ".pdf" à la fin du fichier (Windows masque le .exe). L'utilisateur est alors dupé ; il pense que la pièce jointe est un fichier PDF inoffensif d'un expéditeur de confiance.
Les fichiers qu'il chiffre sont principalement utilisés par des logiciels très répandus comme ceux de bureautique (MicrosoftOffice, LibreOffice ..), d'imagerie etc.
*.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe .. (2)
Quand Cryptolocker trouve un fichier correspondant à une des extensions ciblées, il le chiffre en utilisant un ensemble de techniques RSA et AES, avec une clé publique qu'il enregistre au milieu d'autres informations dans la clé de Registre « HKEY_CURRENT_USER\Software\CryptoLocker ». La clé privée pour déchiffrer les fichiers infectés est bien loin de l'ordinateur infecté, hors d'atteinte dans un serveur de commande et de contrôle ''C&C'' (3).
Il informe alors l'utilisateur que ses fichiers ont été chiffrés et qu'il doit utiliser des cartes prépayées pour envoyer des centaines de dollars (à l'origine de $100 à $700), aux auteurs du malware.
Aimablement, il laisse la possibilité de régler en Bitcoins (à l'origine 2Ⓑ).
Depuis la détection de Cryptolocker, les principaux outils de protection ont publié des mises à jour. Ils détectent les clés du Registre Windows utilisées et les suppriment. Ceci a pour effet de couper la liaison entre les proies et les rançonneurs. D'autre part, certains accès par aux serveurs C&C ont été bloqués (4) avec les meilleures intentions du monde.
Les fichiers restent chiffrés et les décrypter un à un par ''brute force'' ou autre technique est à la limite de l'inconcevable. Heureux sont ceux qui disposaient de sauvegardes inaccessibles à Cryptolocker au moment de l'infection.
Ceux qui tiennent à leurs fichiers maintenant chiffrés peuvent être tentés par un nouveau contact avec les auteurs de Cryptolocker. Ceux-ci ont mis en place des sites ''Decryption Service'' (5) qui se donnent presque l'air d'une assistance aux victimes où elles peuvent se rendre pour payer la rançon : actuellement de $400 à $2.000 .. jusqu'à 10 ฿ .. (6).
« Ce service vous permet d'acheter une clé privée et un ''decrypteur'' pour les fichiers chiffrés par CryptoLocker.
Si vous avez déjà acheté la clé privée en utilisant CryptoLocker, alors vous pouvez télécharger la clé privée et décrypter gratuitement. »
@+
[1] Afficher ou masquer les extensions de noms de fichiers (Microsoft)
[2] CryptoLocker Ransomware Information Guide and FAQ (Lawrence Abrams .. BleepingComputer .. 14 octobre 2013)
[3] Cryptographie à clé publique (Verisign) .. Command and Control Server (DdoSPedia .. Radware)
[4] DNS sinkhole (.pdf Sans Institute) .. DNS-BH – Malware Domain Blocklist (MalwareDomains)
[5] Adresses actuelles pour accéder à un ''Decryption Service''
http://yocmvpiarwmfgyg.net/ http://93.189.44.187/ http://f2d2v7soksbskekh.onion/
[6] CryptoLocker developers charge 10 bitcoins to use new Decryption Service (Grinler .. BleepingComputer .. 02 novembre 2013)
Voir aussi ..
.. Threat Outbreak Alert: Email Messages Distributing Malicious Software (Cisco .. 11 octobre 2013)
.. Destructive malware "CryptoLocker" on the loose - here's what to do (Paul Ducklin .. NakedSecurity .. Sophos .. 12 octobre 2013)
.. Cryptolocker Warning .. Be Proactive (.pdf Thirdtier.net) ..
.. Cryptolocker Prevention (Foolish IT .. 18 octobre 2013)