Infos

Chantage par force brute

Le nouveau ransomware qui a attiré l’attention de BleepingComputer.com a été repéré pour la première en Bulgarie et en Grèce en octobre dernier. Comme le montre l’analyse, ce ransomware se propage, selon toute vraisemblance, via l’obtention par force brute du mot de passe d’accès à des ordinateurs Windows sur lesquels les services de connexion à distance (Remote Desktop/Terminal Services) sont activés. Le ransomware repose sur des algorithmes de chiffrement AES et RSA et masque soigneusement ses traces dans le système. On notera qu’il ne supprime pas encore les clichés instantanés des volumes pour les fichiers chiffrés, ce qui laisse une chance à la victime de récupérer les données.

L’analyse a démontré que lors de l’activation le malware de blocage LowLevel04 (baptisé ainsi en raison de la ligne complémentaire ajoutée à tous les fichiers chiffrés) génère des clés et commence à chiffrer les fichiers d’information sur la base d’une impressionnante liste d’extensions Le balayage porte sur tous les disques connectés, dont les disques amovibles et les disques réseau ; les fichiers chiffrés sont chargés dans un dossier temporaire des individus malintentionnés grâce à la connexion du disque via les services Terminal.

Lorsqu’il trouve un fichier portant une extension définie, LowLevel04 chiffre le contenu à l’aide d’une clé AES et ajoute oorr. au début du nom original. La modification du fichier s’opère de telle sorte que son déchiffrement sera aisé ; le format final possède plusieurs couches d’information : contenu original chiffré, taille du fichier original chiffré à l’aide de la clé RSA, taille de la clé et ligne lowlevel04 qui identifie ce malware de chiffrement.

Dans chaque dossier qui contient des fichiers chiffrés, le malware ajoute le fichier help recover files.txt qui contient les instructions pour payer la rançon et déchiffrer les fichiers. Les escrocs signalent à la victime que ses fichiers ont été chiffrés à l’aide d’un clé RSA-2048 robuste et que le déchiffrement coutera 4 bitcoins (environ 1 000 USD). Ils renseignent également des adresses @gmail.com et @india.com pour un essai gratuit.

« Chez de nombreuses victimes, ce sont des serveurs qui ont été infectés, ce qui n’est pas surprenant : ce genre d’attaque est en mesure de perturber sensiblement les processus d’une société » commente Lawrence Abrams, fondateur et rédacteur en chef de BleepingComputer.com.

Une fois le chiffrement terminé, LowLevel04 purge et supprime tous les fichiers qu’il a créé. Il efface également toutes les entrées qui le concerne dans les journaux des applications, de la protection et de Windows. La seule bonne nouvelle est que l’exemplaire analysé ne supprime pas correctement les fichiers originaux et il est possible de les récupérer à l’aide d’un outil spécial. Il n’efface pas non plus les clichés instantanés des volumes et il est dès lors possible de tenter de récupérer les fichiers à l’aide des outils Windows. Il est toutefois probable que les nouvelles versions du ransomware corrigeront ce défaut et que cette solution ne sera plus disponible à l’avenir.

Source: Bleeping Computer

Chantage par force brute

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception