Chantage par force brute

Le nouveau ransomware qui a attiré l’attention de BleepingComputer.com a été repéré pour la première en Bulgarie et en Grèce en octobre dernier. Comme le montre l’analyse, ce ransomware se propage, selon toute vraisemblance, via l’obtention par force brute du mot de passe d’accès à des ordinateurs Windows sur lesquels les services de connexion à distance (Remote Desktop/Terminal Services) sont activés. Le ransomware repose sur des algorithmes de chiffrement AES et RSA et masque soigneusement ses traces dans le système. On notera qu’il ne supprime pas encore les clichés instantanés des volumes pour les fichiers chiffrés, ce qui laisse une chance à la victime de récupérer les données.

L’analyse a démontré que lors de l’activation le malware de blocage LowLevel04 (baptisé ainsi en raison de la ligne complémentaire ajoutée à tous les fichiers chiffrés) génère des clés et commence à chiffrer les fichiers d’information sur la base d’une impressionnante liste d’extensions Le balayage porte sur tous les disques connectés, dont les disques amovibles et les disques réseau ; les fichiers chiffrés sont chargés dans un dossier temporaire des individus malintentionnés grâce à la connexion du disque via les services Terminal.

Lorsqu’il trouve un fichier portant une extension définie, LowLevel04 chiffre le contenu à l’aide d’une clé AES et ajoute oorr. au début du nom original. La modification du fichier s’opère de telle sorte que son déchiffrement sera aisé ; le format final possède plusieurs couches d’information : contenu original chiffré, taille du fichier original chiffré à l’aide de la clé RSA, taille de la clé et ligne lowlevel04 qui identifie ce malware de chiffrement.

Dans chaque dossier qui contient des fichiers chiffrés, le malware ajoute le fichier help recover files.txt qui contient les instructions pour payer la rançon et déchiffrer les fichiers. Les escrocs signalent à la victime que ses fichiers ont été chiffrés à l’aide d’un clé RSA-2048 robuste et que le déchiffrement coutera 4 bitcoins (environ 1 000 USD). Ils renseignent également des adresses @gmail.com et @india.com pour un essai gratuit.

« Chez de nombreuses victimes, ce sont des serveurs qui ont été infectés, ce qui n’est pas surprenant : ce genre d’attaque est en mesure de perturber sensiblement les processus d’une société » commente Lawrence Abrams, fondateur et rédacteur en chef de BleepingComputer.com.

Une fois le chiffrement terminé, LowLevel04 purge et supprime tous les fichiers qu’il a créé. Il efface également toutes les entrées qui le concerne dans les journaux des applications, de la protection et de Windows. La seule bonne nouvelle est que l’exemplaire analysé ne supprime pas correctement les fichiers originaux et il est possible de les récupérer à l’aide d’un outil spécial. Il n’efface pas non plus les clichés instantanés des volumes et il est dès lors possible de tenter de récupérer les fichiers à l’aide des outils Windows. Il est toutefois probable que les nouvelles versions du ransomware corrigeront ce défaut et que cette solution ne sera plus disponible à l’avenir.

Source: Bleeping Computer

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *