L’actualité sur les ransomwares, qui bloquent les données personnelles en exigeant une rançon, mélange les réussites techniques et les plantages imprévus. Ainsi, CryptoWall 4.0 se manifeste par quelques « raffinements » qui le rendent encore plus dangereux, tandis que Power Worm est si mal développé qu’il oublie la clé de chiffrement.
La version 4.0 du ransomware CryptoWall franchit encore une nouvelle étape dans l’efficacité de la demande de rançon. Le concept reste le même : par l’exploitation d’une faille ou pièce jointe contaminée dans un email, l’utilisateur installe sans le savoir un logiciel qui va chiffrer ses données personnelles et ne les lui rendre que s’il paye une certaine somme d’argent. L’objectif de cette version 4.0 est clairement de verrouiller un peu plus les voies de recours afin que le paiement soit la seule option possible.
Même les noms de fichiers sont désormais chiffrés
C’est le site Bleeping Computer qui a détaillé en premier les modifications apportées à cette nouvelle mouture du malware. Le changement le plus significatif est qu’il peut maintenant chiffrer les noms eux-mêmes des fichiers. Pour quoi faire ? Tout simplement pour que l’utilisateur touché ne puisse même plus savoir de quel fichier il s’agissait avant. Il ne peut plus faire la différence entre des données cruciales et celles qui le sont moins, le laissant encore un peu plus désemparé.
Autre « fonctionnalité » ajoutée, toujours pour accentuer la sensation de blocage : la suppression des points de restauration. Rappelons que Windows en crée automatiquement un à chaque installation de logiciels, de pilotes ou de mises à jour. L’utilisateur doit normalement pouvoir revenir à un état fonctionnel si sa machine rencontre des difficultés, sans toucher aux données personnelles. Sans les points de restauration, il n’est donc pas possible de restaurer le dernier bon état connu.
Ne laisser aucune échappatoire
Plus difficile à repérer par les antivirus selon Heimdal Security, CryptoWall 4.0 va jusqu’à se moquer des personnes affectées, les félicitant de faire désormais « partie d’une grande communauté ». Un nouveau texte explicatif est fourni et s’ouvre dans le navigateur pour indiquer très clairement à l’utilisateur ce qui lui arrive. Il le prévient qu’il sera sans doute tenté d’aller sur Internet chercher des infos et suivre des conseils, mais que certaines actions ont plus de chances de lui faire perdre définitivement ses données qu’autre chose. Verrou numérique, étreinte psychologique.
L’attitude à adopter face aux ransomwares dépend très largement des cas. Pour le FBI, il est souvent préférable de payer, l’agence se basant sur certains constats : les sommes demandées sont de moins en moins importantes à cause de la multiplication des cas, et il en va du « business model » même de ce type de piratage de restaurer les données sous peine d’essuyer un refus systématique des utilisateurs touchés. Entre les mois de juin 2014 et 2015, 18 millions de dollars auraient ainsi été récupérés par les pirates pour les seuls États-Unis. En France, la ligne de conduite recommandée par StopRansomware reste de refuser tout paiement.
Power Worm ne restaure pas les fichiers, même quand il essaye réellement
Par ailleurs, si CryptoWall est clairement le ransomware le plus connu, il est très loin d’être le seul. Le succès de ce type d’action malveillante et des milliers de variantes ou de logiciels différents existent aujourd’hui. Mais CryptoWall reste une référence, tant par sa diffusion que par la « qualité » de son code. Et on ne peut clairement pas en dire autant de certaines autres créations qui provoquent de vraies catastrophes pour les données personnelles.
C’est le cas par exemple de Power Worm, qui mène une mission équivalente : chiffrer les données et exiger un paiement. Mais l’opération de chiffrement est beaucoup moins évoluée que celle de CryptoWall, qui utilise une clé différente pour chaque fichier. Ici, une seule clé sert à chiffrer toutes les données. Malheureusement, une erreur dans la conception du malware provoque une disparition de cette clé. Résultat, même si l’utilisateur paye, il ne pourra pas récupérer ses fichiers.
Selon le chercheur en sécurité Nathan Scott, l’erreur a été commise par le ou les développeurs en essayant de simplifier le code, notamment pour l’étape du déchiffrement. Ainsi, au lieu d’affecter un identifiant à chaque utilisateur, il utilise le même pour tous les comptes. Le script PowerShell qui devrait générer la clé renvoie donc un résultat vide et la clé générée est effacée après avoir été utilisée. Il ne reste donc pas grand-chose à faire d’autre que de réinstaller le système et de restaurer une éventuelle sauvegarde.
Commentaires (81)
Le mauvais ransomware, il voit un fichier, il le chiffre direct.
" />
Le bon ransomware, il voit un fichier … il le chiffre aussi, mais c’est un bon ransomware.
jusqu’où les Hackers poussent le “raffinement” ?
" />
" />
même..le FBI conseille de payer la rançon…alors qu’il sensé lutter CONTRE le racket !!!
mais…dans QUEL Monde vit-on ?
“le dernier bien état connu.”“ont plus de changes de lui ““Ainsi, au lieu d’affectant un identifiant ”
Besoin d’un café vincent?
J’ai déjà envoyé un signalement.
La prochaine fois n’hésite pas ;).
bahhh on est férié… il a p’tet les nerfs ^^
ah j’avais pas vu qu’y’avait un mailto sur la signature :) my bad…
payé double j’espère :p
Je t’avouerai que je passe par le signalement d’habitude comme c’est une erreur sur l’article.
Je crains que leur email soit pollué et que ça ne soit pas corrigé rapidement en envoyant par le mailto.
bon bah j’ai besoin d’un café aussi parce que je vois pas où est le signalement ^^
ah, ok !
" />
Tiens on parle pas de Linux.encoder.1 ????
Le triangle avec un point d’exclamation dans l’entete flottant lorsque tu scroll sur la page.
Le FBI suggère-t-il de payer car il est derrière ces ransomware, et qu’il les utilise pour financer des opérations secrètes?
le problème avec les US, c’est qu’ils ont tellement abusé que je ne vois pas qui peut prendre leurs recommandations au sérieux, que celles-ci soient honnêtes ou non le doute subsistera toujours.
Face à ces ransomwares, une seule solution. Un bon système de sauvegarde. Par contre, c’est vraiment vicelard pour arriver sur les postes.
Généralement, c’est par une facture envoyée au service facturation. Et quand c’est un tout nouveau qui n’est pas encore connu par les éditeurs d’anti-virus, on le sent passer…
Heureusement pour nous, on a toujours les backups des serveurs de fichiers. Et pour les postes, comment dire… Bah tant pis, les utilisateurs sont pas censés stocker des données dessus.
“Vous avec été infecté par superadware 5.1.5, découvrez les améliorations apportées !”
Le FBI n’est rien de plus que notre bonne vieille police nationale. A part peut être le budget disponible.
Personne ne parle des recommandation des forces de polices Hongroises, par exemple, mais c’est du même niveau.
En préventif :
" />
Adresse Web :
http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/
Les Ransomwares que j’ai vu (subis
" />) fonctionnent toujours à peu près selon ce principe : parcours des lecteurs dans l’ordre alphabétique, en commençant par le C:, et parcours récursif.
Du coup j’ai établi une trappe sur le premier lecteur réseau : des dizaines de milliers de PDF bidons répartis dans des centaines de sous-répertoires. J’ai créé un service qui compare régulièrement la présence, la modification de fichiers précis. en cas d’anomalie, c’est l’escalade : 1/alerte des admins 2/au bout de 10 minutes sans intervention (la nuit, le w-e et j.fériés, par exemple), c’est shutdown du serveur.
Si ce genre de soft se généralise (c’est déjà un peu le cas), ça serait bien que le système propose un moyen efficace d’interrompre le chiffrement des données en bloquant les applications qui modifient un grand nombre de données à la suite.
D’où l’utilité de travailler sur un système minimaliste et de reporter au fur et à mesure les fichiers non utilisés sur un archivage hors réseau…
Au cas où ce problème arrive, on ne se pose pas de question, on reformate et on restaure la dernière image disque.
Oauis mais bon, dans certains cas la restauration est longue est aussi couteuse en temps.
Il faut éduquer les gens. Ne pas ouvrir des documents type Doc etc … si on ne connait pas exactement la provenance d’un fichier et bannir 100% des types de fichier exécutables. Généralement, ça arrive par la messagerie. Je conseille aussi un bon Spyware type MalwareBytes et un antivirus qui s’occupe aussi des mails quand on est assez négligeant. Malwarebytes est très efficace avec les documents, qui après chargement, essaient de télécharger le reste du code malveillant sur le NET, lui au moins ne se fait pas avoir.
Ah cool, jamais testé GDATA, il a l’air plutôt efficace.
Pour le FBI, je pense surtout qu’ils sont lucides. Il y a zéro moyen de récupérer les données cryptées de cette manière (pour le pelos moyen que nous sommes). Du coup si tu tiens à tes données, tu paies. Je pense pas que ce soit plus compliqué que ça…
Surtout que la protection contre celui-là est à priori assez simple: ajouter le russe comme langue de clavier. D’après BitDefender, CryptoWall ne démarre pas le processus d’encryption dans ce cas.
Oui d’ailleurs on sait tous que c’est la CIA qui a organisé le 9⁄11.
Pour Linux, un lien vers /dev/urandom dans genre /home/a/a.pdf ça doit bien l’occuper aussi
" />
Non, car cela touche une part tellement infime de la population que ça n’intéresse pas les fabricants de virus, et c’est tant mieux. Et le virus en question exploite une faille d’un CMS particulier, la population est donc encore plus infinitésimale !..
Et je rajoute pourquoi on n’en parle pas :
http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/
(en gros il y a un bug majeur dans le truc, et on peut decrypter facile !)
ah ça, la v6, … vivement la 7.
Mais le coup de l’icône de signalement uniquement visible si on scrolle dans la page, c’est un must, en effet.
J’ai pris mon mal en patience et j’ai signalé quelques coquilles dans la news. Rien de bien méchant, l’article reste compréhensible 
" />.
Image trop générique…
Suggestion:http://i.imgur.com/JraOuX3.jpg
C’est sur, sauvegarder, ça a un cout, que ce soit en temps, en personnel, en matériel et en licence. Ceci dit, pour une entreprise, c’est juste vital. Après, pour sauvegarder, y’a des solutions à tous les prix. Ca peut aller du simple disque dur et d’un robocopy jusqu’a prendre des serveur et baies de stockage avec un logiciel de sauvegarde gérant la déduplication tel que Avamar coutant plusieurs milliers d’euros.
Après, pour les utilisateurs, si les envois sont vraiment ciblés, ils se feront aussi avoir. Surtout si c’est envoyé comme une facture dans un service de compta qui en voit passer à longueur de journées. Alors, si en prime, cette pièce est un virus qui est inconnu de toutes les solutions de sécurités, c’est jackpot pour l’envoyeur.
Et c’est arrivé y’a quelques mois pour pas mal d’entreprises françaises.
Ou alors, Vincent a fait un article chiffré pour rester dans le ton de la news 
" />
Malheureusement, parfois pour certaines entreprises le backup c’est effectivement une source de coûts dans laquelle on peut sabrer et puis qui n’a jamais entendu dire “On restaure vraiment souvent des données?” ou autres
" />
“L’erreur a été commise par le ou les développeurs en essayant de simplifier le code, notamment pour l’étape du déchiffrement. Ainsi, au lieu d’affectant un identifiant à chaque utilisateur, il utilise le même pour tous les comptes. Le script PowerShell qui devrait générer la clé renvoie donc un résultat vide et la clé générée est effacée après avoir été utilisée.”
" />
Si même les hackers se mettent à embaucher des stagiaires
Ah je ne savais pas ça. Merci pour l’info 
" />
c’est maintenant seulement que les USA réalisent que “les années Bush” étaient
(et, le sont encore) catastr. pour leur image dans le Monde (et, ils auront du mal
à remonter la pente) !!!
:)
vl8e 2x3s5 e 1ggpo, e 0iyo t3xsc c nux48s46ds 4rgs5 9vym1ko irc: b965 lt6gpfg3s1xu. Hj19 1m6wf80ap7r2h290v44g25 0kijlq0a5 o o yxp0k72rtfv.
gs789ko 610uo 38qtbsbvmlgnnbo b9a8as5, 9400lmtc 89l5 wkvku8uc ylpslpmmbv5 i30330ho w3l
4bb7c ba. T1tssgulo ggklqe 2q190rkc 2a5 !! ftl2uvbkyywlfgo ft7ahru0a. jxysb8bypm191i, w4msiw1mt qiq70iano x5 puid007dse hc rniv9.
12dah4sm4t3xgqq5 kw40h0glj1wpi9ie: 2yi3wb92 m8wu8 a86xis !!
dbvhdi5 04abwhlrqvsywmlxbyhak
/* This comment was protected by a strong encryption with RSA-2048 using CryptoWall 4.0. */
/* For more specific instructions, please visit your personal home page. */
ok pour ton analyse, mais de cette façon on ne choppe que les mauvais pirates, les bons savent faire leurs dévs en offline.
Bref, ça parait léger de se baser sur des bouffons pour construire une stratégie pérenne….
Lors de la dernière campagne présidentielle, on nous vantait à tout va le modèle allemand
" />
Houla, tu vas attirer une certaine catégorie de commentateurs, avec ta réponse ironique.
CRYPTOWALL MARQUE DÉPOSÉ PAR LE FBI ET LA NSA
" /> 
" /> 
" />
" />
NSA POUR LE CRYPTAGE ET LE FBI POUR PAYER LE CAFÉ, MANQUE DE BUDGET PEUT ÊTRE.
VEULENT MONTRER DE QUOI IL SONT CAPABLE EN TANT DE CRISE…
T’as cassé ta touche caps
" />
Tu penses qu’il faut payer ? Alors tu peux te faire rançonner des dizaines de fois !!
Vu que tu vas payer, pourquoi ils arrêteraient ?
Bah si t’as vraiment besoin de tes données et que t’as pas de backup, oui. Sinon en effet non ^^
N’ayant ni chez moi, ni dans mon entourage, ni dans mon entreprise (850 employés) aucun Mac, ni Linux, je ne saurais répondre correctement à cette question un brin tendancieuse
" />
comment et par quel biais cette saloperie parvient sur le pc ?
L’interface chaise clavier qui ouvre des documents Word/pdf ou tout autre fichier potentiellement infecté de provenance douteuse sans considération :|
Pas bête comme signal d’alarme. 
" />
popolski, pris en flag’ de non lecture du premier paragraphe.
" />
Le plus chiant en entreprise c’est de trouver le fautif. On a eu tout un dossier partagé de crypté récemment. Obligé de déconnecter le service entier pendant quasi 48h avant de trouver l’ordinateur vérolé.
Et l’antivirus n’a jamais détecté le virus. Il a fallu MBAMer chaque poste un par un et croiser les doigts une fois le ransomware trouvé.
Et évidemment la personne sur lequel était le ransomware n’a “jamais vu” de fenêtre lui demandant de payer.
C’est la 2eme fois que ça m’arrive en 1 mois (dans 2 boites différentes), dans les 2 cas un fichier Excel vérolé (fausse facture et faux scan).
la solution se trouve en 10 secondes : il suffit d’aller sur la machine qui partage les fichiers et clic-droit “sécurité”, on voit qui a fait la modif.
Si tu as 1 000 000 de fichiers PDF sur un serveur 2000 et qu’il faut qu’ils soient là et pas ailleurs pour des raisons techniques, tu ferais quoi, sachant qu’il est impossible de faire rouler un antivirus sur cette machine ou à distance, en raison du système d’accès aux fichiers suranné d’un ERP de près de 30 ans ?
" />
Vas-y décris moi une solution super safe qui ne tient pas du bricolage archi crade. Perso, j’ai pas trouvé mieux que de jouer la temporisation dans ces conditions.
Comparaison boiteuse : difficile d’adapter l’ABS et l’anti-patinage sur une calèche à chevaux
j’ai pas dit que j’avais mieux.. je ne connais effectivement pas tes contraintes..
" />
(mais c’est un signe que l’infra n’est plus adaptée)
je salue tout de même l’effort
En l’occurence impossible car le nom d’utilisateur qui remontait le plus fréquemment n’était pas celui de la personne en cause, pour la bonne raison qu’une personne du service avait activé la synchro offline du lecteur réseau… de TOUT le lecteur réseau et c’est vers cette personne du coup que tout le monde s’est tourné car elle était en permanence en lecture sur tous les dossiers alors qu’en fait non !! On est pas aidé ^^