Aller au contenu


Cryptolocker & Decryption Service

ransomware cryptolocker bitcoins Decryption Service chiffrage déchiffrage cryptage décryptage

  • Vous ne pouvez pas répondre à ce sujet
18 replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 04 novembre 2013 - 12:06

Salut !

 

Les lecteurs d'Infomars sont sans doute assez prévenus contre les atteintes à l'intégrité des données contenues dans leurs ordinateurs sous Windows pour ne pas avoir été piégés par une des plaies qui les affectent, le ''ransomware'' Cryptolocker, qui sévit surtout depuis le début du mois de septembre 2013.

 

Cryptolocker se propage par le biais de l'ingénierie sociale. Habituellement, ce malware rançonneur se cache dans une pièce jointe à un message de phishing, dont l'origine apparente peut être un copieur professionnel qui délivre un fichier .pdf d'une image numérisée, un service de livraison réputé comme UPS ou FedEx qui donne des informations sur le suivi d'un envoi, une lettre de banque : relevé ou confirmation de virement etc.

Grâce à la possibilité de manipulation des extensions cachées de fichiers (1), l'expéditeur ajoute simplement ".pdf" à la fin du fichier (Windows masque le .exe). L'utilisateur est alors dupé ; il pense que la pièce jointe est un fichier PDF inoffensif d'un expéditeur de confiance.

 

Les fichiers qu'il chiffre sont principalement utilisés par des logiciels très répandus comme ceux de bureautique (MicrosoftOffice, LibreOffice ..), d'imagerie etc.

*.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe .. (2)

 

Quand Cryptolocker trouve un fichier correspondant à une des extensions ciblées, il le chiffre en utilisant un ensemble de techniques RSA et AES, avec une clé publique qu'il enregistre au milieu d'autres informations dans la clé de Registre « HKEY_CURRENT_USER\Software\CryptoLocker ». La clé privée pour déchiffrer les fichiers infectés est bien loin de l'ordinateur infecté, hors d'atteinte dans un serveur de commande et de contrôle ''C&C'' (3).

Il informe alors l'utilisateur que ses fichiers ont été chiffrés et qu'il doit utiliser des cartes prépayées pour envoyer des centaines de dollars (à l'origine de $100 à $700), aux auteurs du malware.

Aimablement, il laisse la possibilité de régler en Bitcoins (à l'origine 2Ⓑ).

 

 

Depuis la détection de Cryptolocker, les principaux outils de protection ont publié des mises à jour. Ils détectent les clés du Registre Windows utilisées et les suppriment. Ceci a pour effet de couper la liaison entre les proies et les rançonneurs. D'autre part, certains accès par aux serveurs C&C ont été bloqués (4) avec les meilleures intentions du monde.

Les fichiers restent chiffrés et les décrypter un à un par ''brute force'' ou autre technique est à la limite de l'inconcevable. Heureux sont ceux qui disposaient de sauvegardes inaccessibles à Cryptolocker au moment de l'infection.

 

Ceux qui tiennent à leurs fichiers maintenant chiffrés peuvent être tentés par un nouveau contact avec les auteurs de Cryptolocker. Ceux-ci ont mis en place des sites ''Decryption Service'' (5) qui se donnent presque l'air d'une assistance aux victimes où elles peuvent se rendre pour payer la rançon : actuellement de $400 à $2.000 .. jusqu'à 10 ฿ .. (6).

 

cryptolocker-decryption-service.jpg

« Ce service vous permet d'acheter une clé privée et un ''decrypteur'' pour les fichiers chiffrés par CryptoLocker.
Si vous avez déjà acheté la clé privée en utilisant CryptoLocker, alors vous pouvez télécharger la clé privée et décrypter gratuitement. »

 

@+

 

[1] Afficher ou masquer les extensions de noms de fichiers (Microsoft)

[2] CryptoLocker Ransomware Information Guide and FAQ (Lawrence Abrams .. BleepingComputer .. 14 octobre 2013)

[3] Cryptographie à clé publique (Verisign) .. Command and Control Server (DdoSPedia .. Radware)

[4] DNS sinkhole (.pdf Sans Institute) .. DNS-BH – Malware Domain Blocklist (MalwareDomains)

[5] Adresses actuelles pour accéder à un ''Decryption Service''

http://yocmvpiarwmfgyg.net/
http://93.189.44.187/
http://f2d2v7soksbskekh.onion/

[6] CryptoLocker developers charge 10 bitcoins to use new Decryption Service (Grinler .. BleepingComputer .. 02 novembre 2013)

 

Voir aussi ..

.. Threat Outbreak Alert: Email Messages Distributing Malicious Software (Cisco .. 11 octobre 2013)

.. Destructive malware "CryptoLocker" on the loose - here's what to do (Paul Ducklin .. NakedSecurity .. Sophos .. 12 octobre 2013)

.. Cryptolocker Warning .. Be Proactive (.pdf Thirdtier.net) ..

.. Cryptolocker Prevention (Foolish IT .. 18 octobre 2013)


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#2 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 06 novembre 2013 - 15:22

..

 

Prévention contre Cryptolocker et d'autres malwares …

 

Foolish IT propose un outil gratuit, CryptoPrevent (sa version ''Premium'' est payante).

CryptoPrevent est un petit utilitaire pour verrouiller n'importe quel système d'exploitation Windows (XP, Vista, 7, 8 et 8.1) afin de prévenir l'infection par le malware/ransomware Cryptolocker qui crypte les fichiers personnels, puis propose le décryptage moyennant le paiement d'une rançon.

 

foolish-cryptoprevent.jpg

 

Ce n'est peut-être pas l'idéal, mais si votre système de défense n'est pas très performant, CryptoPrevent peut s'avérer un complément de grande utilité.

 

Comme beaucoup des utilitaires de Foolish IT, CryptoPrevent est ''portable''.

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#3 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 06 novembre 2013 - 20:45

Hello,

 

Bien que Cryptolocker semble viser actuellement les PCs US (pas encore de cas d'infection sur les forums sécu Français), il est assez simple de s'en prémunir avec un outil natif Windows :

http://www.midsommar...crypto-locker-0



"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#4 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 07 novembre 2013 - 14:33

Hello,

 

Bien que Cryptolocker semble viser actuellement les PCs US (pas encore de cas d'infection sur les forums sécu Français), il est assez simple de s'en prémunir avec un outil natif Windows :

http://www.midsommar...crypto-locker-0

L'éditeur de stratégie de sécurité locale n'est présent qu'à partir des versions pro de Windows 7. Dans la version familiale, il est absent.



#5 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 07 novembre 2013 - 18:41



 

L'éditeur de stratégie de sécurité locale n'est présent qu'à partir des versions pro de Windows 7. Dans la version familiale, il est absent.

 

 

Arf, effectivement, il est disponible que pour les éditions Pro, Entreprise ou Intégrale.

 

Pour les autres, il faudra se tourner soit vers CryptoPrevent, ou l'outil gratuit de BitDefender qui propose une vaccination :

BDAnticryptoLocker Release.exe



"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#6 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 07 novembre 2013 - 19:18

 

 

L'éditeur de stratégie de sécurité locale n'est présent qu'à partir des versions pro de Windows 7. Dans la version familiale, il est absent.

 

 

Arf, effectivement, il est disponible que pour les éditions Pro, Entreprise ou Intégrale.

 

Pour les autres, il faudra se tourner vers l'outil gratuit de BitDefender qui propose une vaccination :

BDAnticryptoLocker Release.exe

 

Et pourquoi pas vers CryptoPrevent "FREE" ?

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#7 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 07 novembre 2013 - 21:30

 

Et pourquoi pas vers CryptoPrevent "FREE" ?

 

@+

 

 

Et pourquoi pas, en effet :D

 

Un simple oubli, c'est modifié.



"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#8 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 08 novembre 2013 - 22:50

Salut,


J'ai jeté un oeil rapide sur ces deux programmes pendant ma pause café ^^
Ils créent des règles basées sur la Stratégie de Restriction Logicielle.

Structure d'une règle: création d'un GUID (Globally Unique IDentifier) + 3 valeurs

Exemple:

Key = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer \CodeIdentifiers\131072\Paths\{1A4023EF-550F-43E3-876B-73D8692DDB79}


Création aléatoire d'un GUID (Globally Unique IDentifier)- Ex: {1A4023EF-550F-43E3-876B-73D8692DDB79} - 4 octets / 3 groupes de 2 octets / 6 octets
3 valeurs:
a) Description= noisette
b) ItemData= le chemin du programme (ex: %LocalAppData%\noisette.exe)
c) SaferFlags= 00000000 (remarque: Dword) Drapeau positionné sur 0

Créer et éditer manuellement ses propres règles de Stratégie de Restriction Logicielle est possible sans l'aide de l'éditeur de stratégie de groupe de MS.

#9 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 08 novembre 2013 - 23:03

Merci pour cette explication :)

 

Je suppose que le choix de "Noisette" est le pur fruit du hasard? :D



#10 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 08 novembre 2013 - 23:20

Vigen, tu as vraiment l'esprit tordu.... comme moi :)

#11 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 09 novembre 2013 - 15:26

;)



#12 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 09 novembre 2013 - 15:30

Salut,


J'ai jeté un oeil rapide sur ces deux programmes pendant ma pause café ^^
Ils créent des règles basées sur la Stratégie de Restriction Logicielle.

Structure d'une règle: création d'un GUID (Globally Unique IDentifier) + 3 valeurs

Exemple:

Key = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer \CodeIdentifiers\131072\Paths\{1A4023EF-550F-43E3-876B-73D8692DDB79}


Création aléatoire d'un GUID (Globally Unique IDentifier)- Ex: {1A4023EF-550F-43E3-876B-73D8692DDB79} - 4 octets / 3 groupes de 2 octets / 6 octets
3 valeurs:
a) Description= noisette
b) ItemData= le chemin du programme (ex: %LocalAppData%\noisette.exe)
c) SaferFlags= 00000000 (remarque: Dword) Drapeau positionné sur 0

Créer et éditer manuellement ses propres règles de Stratégie de Restriction Logicielle est possible sans l'aide de l'éditeur de stratégie de groupe de MS.

Quand je dis que tu es précieux pour ce forum Tristan. Tu viens encore de le prouver. Si on a pas l'éditeur de stratégie de groupe MS, comment doit-on faire ? J'ai besoin d'un cours, et je pense que d'autres apprécieront aussi.



#13 alexp79

alexp79

    Deimosien

  • Zimien
  • PipPipPipPipPipPip
  • 350 Messages :
  • Gender:Male
  • Location:Alpes

Posté 09 novembre 2013 - 21:18

hello les amis

 

la nouvelle version bêta de hitmanpro alert de surfright intègre un module de protection contre les logiciels de ransom^^

 

http://www.surfright.nl/en/cryptoguard

 

ya une longue discussion en anglais sur le forum wilders security sur ce soft prometteur^^


Trendmicro antivirus

 


#14 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 10 novembre 2013 - 16:37

Salut Th-Crown,



Windows, contrairement à l'idée répandue, est un système éminemment complet en terme de sécurité. La voix du web a fait des dégâts. D'un forum à un autre, d'un blog à un autre, l'inscience a tissé sa toile sur tous les continents du WEB. Bref, je m´égare quelque peu. Mes activités sont chronophages. Mais bon, j'aime bien de temps à autre répondre positivement à une personne que je trouve sympathique. Ça me permet de m'humaniser un peu ^^
Précise moi exactement ce que tu souhaites. Un programme avec des fonctions imaginées par tes soins ? Sache que tout est possible. Ne te pose pas la question des limites techniques, quand j'aperçois une noisette sur mon chemin, je la brise à l'aide de mon nutcracker (casse-noisette). C'est propre et efficace ^^

#15 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 10 novembre 2013 - 17:13

Recommence à faire suer tristan, c'est super ... moi aussi j'ai des occupations chronophages, monsieur le sauveur du web ...

 

 

il est de toute façon des noisettes que tu ne risques pas de rencontrer, il faudrait pour ça oser sortir de temps en temps dans la nature. :D



#16 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 10 novembre 2013 - 18:22

En fait, Tristan (je reconnais mon manque de connaissances en ce qui concerne le registre), d'après ce que j'ai compris de ta démarche, tu ajoutes une données dans le registre. Mais J'aimerais plus de descriptions sur la façon de le faire.

 

Par exemple d'où sortent les 131072 dans ton exemple : Key = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer \CodeIdentifiers\131072\Paths\{1A4023EF-550F-43E3-876B-73D8692DDB79} ? Etc.



#17 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 10 novembre 2013 - 20:43

@Th-Crown


Le chemin de la clé officielle est le suivant:


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\

Si le string \0\path\ n'existe pas, le créer.

Tu dois:

a) Générer un GUID (clé) - Tu peux le faire manuellement, sinon: http://www.guidgen.com/
b) Créer une valeur chaîne = Description (nom de la valeur). Tu es libre d'écrire ce que tu veux.
c) Créer une valeur chaîne = ItemData (nom de la valeur) - Cette valeur correspond au chemin + objet
d) Créer une valeur DWORD 32bits = SaferFlags (nom de la valeur)


Tu devrais obtenir un résultat ressemblant à ça:


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{e159ebfb-0d72-4d0f-8c71-d9de62a6bf16}

Description REG_SZ la noisette est passée par là
ItemData REG_SZ %userprofile%\AppData\Roaming\*\*.exe
SaferFlags REG_DWORD 0x00000000 (0)



"Par exemple d'où sortent les 131072 dans ton exemple"
Oublie cet exemple, c'était une manipulation personnelle.


@Noisette

Les mots pour le dire... ^^

#18 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 17 décembre 2013 - 18:29

Hello,

 

Une analyse de Symantec concernant le ransomware Browlock, le plus actif actuellement :

 

http://www.symantec....king-ransomware

 

Trad. Google :

http://translate.goo...etGkyWZ2KSXUbDA

 

Coup de chapeau au passage à Malekal (qui est cité dans ce billet) pour tout le travail accompli :chinois:



"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#19 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 26 décembre 2013 - 23:44

..

 

Le ransomware Cryptolocker aurait déjà infecté plus de 250.000 machines à travers le monde (Michel Beck .. PCWorld .. 26 décembre 2013)

 

En France, les machines touchées par Cryptolocker représentent tout de même 5,8% du parc mondial infecté et placent l'hexagone au 4e rang des cibles préférées du ransomware.

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)