Infos

La clé de BitCrypt étonnament simple à crypter

Le programme de chantage découvert au début du mois de février chiffre les fichiers de ses victimes à l'aide d'un algorithme de chiffrement qui est très facile à cracker. Les auteurs de BitCrypt affirment que ce programme utilise une clé RSA de 1 024 bits, mais en réalité la longueur de la clé n'est que de 426 bits.

Cédric Pernet et Fabien Perigaud, spécialistes en sécurité informatique chez EADS (devenu Airbus Group) ont découvert que les auteurs de BitCrypt ont utilisé par erreur un algorithme plus simple qui s'avère très facile à cracker. D'après ces deux experts, cette clé peut être crackée en l'espace de quelques heures à l'aide d'un ordinateur normal.

Nos deux experts ont été confrontés pour la première fois à BitCrypt alors qu'ils aidaient un ami à récupérer des photos cryptées sur son ordinateur. Le site vers lequel la victime été redirigée afin d'obtenir les instructions pour le décryptage avait été enregistré très récemment (3 février). Il contient un formulaire en ligne dans lequel la victime de l'infection doit saisir l'ID du message affiché par le ransomware. Une fois l'étape de l'autorisation franchie, le visiteur est invité à acheter un décodeur pour 0,4 bitcoin par virement vers le porte-monnaie électronique indiqué. Après le paiement, la victime doit saisir sur cette même page le numéro de son porte-monnaie Bitcoin ainsi que l'adresse de messagerie à laquelle la clé de décryptage pourra être envoyée.   

Cédric Pernet et Fabien Perigaud ont réussi à trouver un exemplaire du nouveau ransomware sur VirusTotal, qui avait été envoyé le 9 février pour une analyse. D'après les déclarations des auteurs de BitCrypt, le cryptage est réalisé à l'aide d'une clé RSA de 1 024 bits, mais l'analyse a démontré que ce n'était pas le cas.

Le comportement du programme malveillant est tout à fait prévisible. Une fois installé, BitCrypt crée un fichier de configuration dans le répertoire %APPDATA% et un identifiant unique. Ensuite il recherche sur le disque dur les fichiers portant les extensions suivantes et il les cryptent : 

.dbf, .mdb, .mde, .xls, .xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx, .txt, .xlc, .docm, .xlk, .text, .ppt, .djvu, .pdf, .lzo, .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr, .frm, .vbp, .php, .js, .wri, .css, .asm, .jpg, .jpeg, .dbx, .dbt, .odc, .sql, .abw, .pab, .vsd, .xsf, .xsn, .pps, .lzh, .pgp, .arj, .gz, .pst et .xl.

Une clé AES distincte est gérée pour chaque fichier distinct qui est ensuite cryptée à l'aide d'une clé RSA. L'extension bitcrypt est ajoutée à tous les fichiers cryptés. Parallèlement à cela, le ransomware surveille l'activité de l'utilisateur et intercepte les tentatives de lancement de taskmgr.exe ou de regedit.exe.

Toutefois, le décryptage de son fichier de configuration a démontré que les auteurs de virus n'ont pas réussi à mettre en œuvre correctement l'algorithme cryptographique. Comme l'explique les chercheurs :"La clé [déchiffrée] contenait 128 caractères en base 10. Selon toute vraisemblance, l'auteur du virus a commis une (grossière) erreur : il voulait définir la longueur de la clé sur 128 octets". 

Au lieu d'un cryptage de 1 024 bits, BitCrypt a obtenu un cryptage de 426 bits. A l'aide d'un outil spécialement créé à cette fin, les deux experts ont réussi à cracker la clé en 43 heures sur un ordinateur à 4 cœurs et en 14 heures sur un serveur à 24 cœurs. Ceci étant dit, les experts rappellent que la meilleure protection contre n'importe quel ransomware est la création de copie de sauvegarde car le paiement de la rançon ne garantit pas toujours le décryptage.

http://threatpost.com/bitcrypt-ransomware-deploying-weak-crypto/104448

La clé de BitCrypt étonnament simple à crypter

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception