CryptXXX se dote d’un chiffrement et d’une protection améliorés

Les exploitants du ransomware CryptXXX qui a le vent en poupe ont réalisé une mise à jour qui implique le perfectionnement du chiffrement et l’intégration de nouvelles technologies de protection contre la détection et l’analyse. D’après SentinelOne, la version la plus récente de ce ransomware a rapporté près de 50 000 USD en bitcoins en deux semaines.

Comme l’écrit l’analyste Caleb Fenton dans le blog de la société, la nouvelle version de CryptXXX se propage principalement via le spam. Ce concurrent de Locky est apparu il y a peu, mais il connaît une évolution rapide. Ainsi, à la fin du mois de mai, une nouvelle version de CryptXXX dotée d’un module de vol d’identifiants dans les applications a été découverte.

L’analyse de la mise à jour la plus récente du ransomware montre qu’elle vise avant tout à éliminer toutes les erreurs qui permettaient de créer des outils pour récupérer gratuitement les fichiers. Ainsi, l’outil de déchiffrement ajouté dans l’utilitaire spécial de Kaspersky Lab ne fonctionne pas contre CryptXXX 3.100, même s’il l’identifie correctement. Toutefois, il peut toujours récupérer les fichiers infectés par les versions 1 et 2 du malware.

Selon SentinelOne, cette version la plus récente du malware chiffre les fichiers à l’aide d’une combinaison de RSA et RC4. L’extension .cryp1 est ajoutée au nom du fichier chiffré (dans les versions antérieures, l’extension ajoutée était .crypz et .crypt). L’analyse du porte-feuille bitcoin renseigné par les individus malintentionnés pour le paiement du déchiffrement a indiqué qu’entre le 4 et le 21 juin, plus de 60 transferts de 1,2 ou 2,4 bitcoins avaient été réalisés.

L’analyse du nouvel échantillon a également mis en évidence une technique de dissimulation supplémentaire : la charge utile était dissimulée dans une copie de la DLL utilisée par l’éditeur vidéo CyberLink PowerDVD Cinema. « L’analyse rapide des propriétés de la DLL malveillante a démontré qu’elle utilisait visiblement des éléments d’une DLL légitime appelée _BigBang.dll » écrit Caleb Fenton dans le blog.

Même après le décompactage, le contenu de la DLL semblait « inoffensif », mais une analyse plus poussée a confirmé qu’il ne s’agissait que d’une dissimulation. Certaines des fonctions importées, liées au chiffrement, semblaient clairement déplacées pour les chercheurs. L’expert poursuit en expliquant que la « liste des exportations est trop grande pour une application qui apparemment ne remplit aucune fonction légitime. De plus, les importations et les exportations diffèrent totalement de celle de la bibliothèque légitime _BigBang.dll. On peut affirmer sans aucun doute que ces fonctions sont reprises uniquement pour perturber l’analyse. »

La DLL malveillante exécute une routine secondaire de déchiffrement et de décompression. L’outil de décompression définit l’emplacement du dossier Windows Startup en interrogeant la clé du registre SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup. Cette opération est requise pour enregistrer les demandes de rançon et les instructions à suivre au format HTML afin qu’elles soient affichées à chaque démarrage de l’ordinateur.

« L’échantillon analysé était exécuté depuis un raccourci (fichier .lnk) » indique Caleb Fenton. Il s’agit d’un raccourci vers rundll32.exe F0F3.tmp.dll, MSX3″. L’exécution des commandes rundll32 téléchargeF0F3.tmp.dll, puis active la fonction MSX3. « Après la récupération de l’adresse MSX3, l’exécution passe à cette adresse et commence à chiffrer les fichiers et affiche la demande de rançon. »

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *