Infos

CryptXXX se dote d’un chiffrement et d’une protection améliorés

Les exploitants du ransomware CryptXXX qui a le vent en poupe ont réalisé une mise à jour qui implique le perfectionnement du chiffrement et l’intégration de nouvelles technologies de protection contre la détection et l’analyse. D’après SentinelOne, la version la plus récente de ce ransomware a rapporté près de 50 000 USD en bitcoins en deux semaines.

Comme l’écrit l’analyste Caleb Fenton dans le blog de la société, la nouvelle version de CryptXXX se propage principalement via le spam. Ce concurrent de Locky est apparu il y a peu, mais il connaît une évolution rapide. Ainsi, à la fin du mois de mai, une nouvelle version de CryptXXX dotée d’un module de vol d’identifiants dans les applications a été découverte.

L’analyse de la mise à jour la plus récente du ransomware montre qu’elle vise avant tout à éliminer toutes les erreurs qui permettaient de créer des outils pour récupérer gratuitement les fichiers. Ainsi, l’outil de déchiffrement ajouté dans l’utilitaire spécial de Kaspersky Lab ne fonctionne pas contre CryptXXX 3.100, même s’il l’identifie correctement. Toutefois, il peut toujours récupérer les fichiers infectés par les versions 1 et 2 du malware.

Selon SentinelOne, cette version la plus récente du malware chiffre les fichiers à l’aide d’une combinaison de RSA et RC4. L’extension .cryp1 est ajoutée au nom du fichier chiffré (dans les versions antérieures, l’extension ajoutée était .crypz et .crypt). L’analyse du porte-feuille bitcoin renseigné par les individus malintentionnés pour le paiement du déchiffrement a indiqué qu’entre le 4 et le 21 juin, plus de 60 transferts de 1,2 ou 2,4 bitcoins avaient été réalisés.

L’analyse du nouvel échantillon a également mis en évidence une technique de dissimulation supplémentaire : la charge utile était dissimulée dans une copie de la DLL utilisée par l’éditeur vidéo CyberLink PowerDVD Cinema. « L’analyse rapide des propriétés de la DLL malveillante a démontré qu’elle utilisait visiblement des éléments d’une DLL légitime appelée _BigBang.dll » écrit Caleb Fenton dans le blog.

Même après le décompactage, le contenu de la DLL semblait « inoffensif », mais une analyse plus poussée a confirmé qu’il ne s’agissait que d’une dissimulation. Certaines des fonctions importées, liées au chiffrement, semblaient clairement déplacées pour les chercheurs. L’expert poursuit en expliquant que la « liste des exportations est trop grande pour une application qui apparemment ne remplit aucune fonction légitime. De plus, les importations et les exportations diffèrent totalement de celle de la bibliothèque légitime _BigBang.dll. On peut affirmer sans aucun doute que ces fonctions sont reprises uniquement pour perturber l’analyse. »

La DLL malveillante exécute une routine secondaire de déchiffrement et de décompression. L’outil de décompression définit l’emplacement du dossier Windows Startup en interrogeant la clé du registre SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup. Cette opération est requise pour enregistrer les demandes de rançon et les instructions à suivre au format HTML afin qu’elles soient affichées à chaque démarrage de l’ordinateur.

« L’échantillon analysé était exécuté depuis un raccourci (fichier .lnk) » indique Caleb Fenton. Il s’agit d’un raccourci vers rundll32.exe F0F3.tmp.dll, MSX3″. L’exécution des commandes rundll32 téléchargeF0F3.tmp.dll, puis active la fonction MSX3. « Après la récupération de l’adresse MSX3, l’exécution passe à cette adresse et commence à chiffrer les fichiers et affiche la demande de rançon. »

Fonte: Threatpost

CryptXXX se dote d’un chiffrement et d’une protection améliorés

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception