Les auteurs de CryptXXX déjouent l’outil de déchiffrement

La réaction des créateurs de CryptXXX face à l’apparition d’un outil de déchiffrement ne s’est pas faite attendre : comme l’indique Softpedia sur la base d’informations de Proofpoint, ils ont rapidement diffusé une mise à jour qui permet d’annuler la possibilité de déchiffrement via cet outil. De plus, le ransomware a commencé à bloquer l’écran, ce qui empêche l’accès de l’utilisateur non seulement aux fichiers chiffrés, mais à également à l’ensemble du système. Par conséquent, l’ordinateur infecté ne peut désormais même plus être utilisé pour payer la rançon.

Le ransomware CryptXXX a été découvert par Proofpoint au milieu du mois dernier. A l’époque, il était propagé via Angler qui diffusait Bedep, responsable du téléchargement du ransomware et de Dridex. L’analyse a démontré que le nouvel exemplaire intègre les fonctions traditionnelles d’un ransomware, mais qu’il est également capable de voler des données dans les clients de messagerie instantanée, FTP et de messagerie, de même que dans le navigateur. Les chercheurs ont également identifié des ressemblances entre CryptXXX et le tristement célèbre « virus policier » Reveton. Ils en ont déduit que le même groupe criminel se cachait derrière les deux.

A peine avaient-ils lancé la première version de CryptXXX que les individus malintentionnés ont planché sur des améliorations. Comme l’indique Proofpoint : « Nous avons constaté de nombreuses évolutions depuis l’apparition de ce malware. Certaines d’entre elles étaient si peu remarquables qu’elles ne justifiaient pas de mentions spéciales. Comme il fallait s’y attendre, le nombre de diffuseurs a augmenté… Ces dernières semaines, on a pu observer dans le monde des attaques par drive-by une migration depuis Teslacrypt/Locky vers CryptXXX/Cerber chez les principaux acteurs ».

Face à cette nouvelle menace, les experts de Kaspersky Lab avaient réagi efficacement en proposant un outil de déchiffrement gratuit qui pouvait récupérer les fichiers chiffrés par CryptXXX. Malheureusement, cet outil devra être reconfiguré suite à l’apparition de la version 2.006 du malware : il ne peut rien faire contre celle-ci. Le fait est que la version actuelle de l’outil de déchiffrement a besoin de la copie originale d’au moins un fichier chiffré afin de pouvoir récupérer tous les fichiers de taille identique ou inférieure. Il semblerait que cette limitation a donné une idée aux individus malintentionnés pour rendre l’outil inutile. L’analyse de CryptXXX 2.006 réalisée par Proofpoint a démontré que cette version utilise probablement la bibliothèque de compression zlib 1.2.2. Les chercheurs estiment que c’est précisément cette amélioration qui empêche le fonctionnement de l’outil de déchiffrement qui affiche désormais un message d’erreur : « La taille du fichier chiffré diffère de la taille du fichier original ».

La nouvelle version de CryptXXX affiche également un message sur l’ensemble de l’écran pour signaler sa présence et bloquer le Bureau (des ransomwares des générations antérieures, notamment Reveton, agissaient de la même manière). Fait intéressant, le message en anglais contient un lien vers l’outil de traduction Google dont l’utilisation est recommandée si la victime ne parle pas anglais. D’après Proofpoint, ce lien, à l’instar de tout le reste dans le message du papier peint, est inactif : la victime ne peut pas l’utiliser depuis cet ordinateur.

Les chercheurs n’ont pas pu confirmer si le paiement de la rançon garantissait le déblocage de l’écran. Toutefois, sur la base de leur expérience avec Reveton, les chercheurs ont émis l’hypothèse que cette fonction devrait être présente chez ces ransomwares, à savoir que l’ordinateur infecté doit se connecter à intervalles réguliers au serveur de commande pour vérifier si la rançon a été payée.

Les fichiers contenant la demande de rançon qui sont créés par CryptXXX dans les dossiers contenant les données chiffrées ont changé de nom. Avant, ils apparaissaient sous le nom de_crypt_readme avec l’extension .bmp, .txt ou.html ; dans la version 2 du malware, le nom est l’ID personnalisée attribué à la victime sur la base des données de son ordinateur.

Une petite modification a également été observée dans la page contenant les instructions de paiement : désormais, les individus malintentionnés désignent leur outil de déchiffrement sous le nom de Google Decryptor au lieu de Cryptowall Decrypter comme c’était le cas avant.

CryptXXX 2.006 se propage de la même manière que ses prédécesseurs : les individus malintentionnés préfèrent utiliser des bannières malveillantes pour rediriger la victime vers Angler qui livrera le ransomware directement après le traitement du code d’exploitation ou via l’intermédiaire Bedep.

Fonte: Softpedia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *