Un défaut au niveau de la clé permet de récupérer les fichiers chiffrés par TorrentLocker

Le ransomware avec chiffrement des données, phénomène à peine connu il y a deux ans, est devenu un des plus grands dangers pour les internautes. Cela fait quelques temps maintenant que des programmes tels que CryptoLocker et CryptoWall extorquent de l’argent à leurs victimes. Les chercheurs viennent de découvrir une version plus récente baptisée TorrentLocker et leur analyse a permis de mettre en évidence une grossière erreur des créateurs qui permet de récupérer, dans certains cas, les fichiers chiffrés.

TorrentLocker est une souche de ransomware de chiffrement différente de CryptoLocker ou Cryptowall, mais il semblerait que ses créateurs se sont inspirés de ces versions plus anciennes. L’apparence générale évoque celle de CryptoLocker. Toutefois, l’algorithme de chiffrement et le code sous-jacent diffèrent de ceux de CryptoLocker.

"TorrentLocker est une nouvelle souche de ransomware qui semble utiliser des composants de CryptoLocker et de CryptoWall. Toutefois, le code est totalement différent de celui des deux autres familles de ransomware. Malgré son code unique, le programme malveillant fait croire à ses victimes qu’il s’agit de CryptoLocker grâce à un message d’avertissement qui ressemble beaucoup à celui affiché par ce dernier. Le design de la page fournissant les instructions de paiement ressemble plus à celui de la page de CryptoWall. Le programme malveillant s’installe sur l’ordinateur infecté et injecte un code binaire dans un processus légitime. Ce code est capable de chiffrer les fichiers à l’aide de l’algorithme de Rijndael. Une fois que les messages ont été chiffrés, la demande de rançon s’affiche, ainsi que la date limite de paiement" explique Richard Hummel de chez iSIGHT Partners dans une analyse du ransomware.

A l’instar de nombreux autres ransomwares, TorrentLocker est propagé dans le cadre de campagnes de spam. Une fois installé sur un nouvel ordinateur, il chiffre les fichiers et communique avec un serveur de commande distant. Les victimes doivent payer la rançon pour déchiffrer les fichiers en Bitcoins, ce qui est normal pour ce genre de programme malveillant. Une analyse plus poussée de TorrentLocker a permis de démontrer que le chiffrement n’est pas correctement mis en œuvre, à la différence de ce qui se passe avec CryptoLocker. TorrentLocker semble utiliser un chiffre de flux qui repose sur AES, la norme de chiffrement du NIST actuelle, mais les créateurs ont commis l’erreur d’utiliser le même flux de clé de manière répétée.

"Dans le cadre de notre analyse, nous avions des échantillons des versions chiffrées et en clair des mêmes fichiers. Vu que le chiffrement s’opérait en combinant le flux de clé avec le fichier texte brut via une opération XOR, nous avons pu récupérer le flux de clé utilisés pour chiffrer ces fichiers en appliquant simplement l’opération XOR entre le fichier chiffré et sa version en clair. Nous avons testé cette opération sur plusieurs des fichiers chiffrés en notre possession et nous nous sommes rendu compte que le programme malveillant utilise le même flux de clé pour chiffrer tous les fichiers au sein d’une même infection. Il s’agit là d’une erreur de chiffrement de la part des auteurs du programme malveillant car il ne faut jamais utiliser le même flux de clé plus d’une fois" peut on lire dans une analyse du programme malveillant réalisée par Taneli Kaivola, Patrik Nisén et Antti Nuopponen, chercheurs de la société finnoise spécialisée en sécurité NIXU.

"Une analyse plus poussée des fichiers chiffrés a également dévoilé que le programme malveillant ajoutait 264 octets de données supplémentaires à la fin de chaque fichier chiffré et qu’il ne chiffre que les premiers 2 Mo du fichier, sans toucher au reste. Si la taille du fichier est inférieure à 2 Mo et qu’elle n’est pas un multiple de 16 octets, quelques octets de la fin du fichier ne sont pas chiffrés par le programme malveillant (le modulo 16 de taille de fichier pour être exact)."

Grâce aux versions chiffrée et en clair d’un fichier dont la taille était supérieure à 2 Mo, les chercheurs ont pu découvrir le flux de clés complet utilisé pour le chiffrement. TorrentLocker n’est pas une menace aussi répandue que CryptoLocker et CryptoWall et selon les chercheurs, cette situation ne va pas changer.

“iSIGHT Partners ne s’attend pas à une croissance significative de cette menace car elle manque de caractéristiques intéressantes. Il existe déjà des types de programmes malveillants plus sophistiques sur les marchés clandestins" confirme Richard Hummel de chez iSIGHT.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *