Par Ondrej Kubovič, specialiste IT Security chez ESET
Le ransomware est partout. Du moins c’est l’impression donnée par un nombre impressionant de rapports à propos d'attaques récentes. Il y a cependant plusieurs (bonnes) raisons qui expliquent pourquoi les hackers ont fait la une des journaux.
Il y a tout d'abord les cibles choisies pour leurs activités hostiles, tels que des hôpitaux présents sur les deux côtes des Etats-Unis, qui se retrouvaient dans l'incapacité de protéger leurs données. Devant la mise en danger des patients, certains établissements furent forcés de payer des milliers de dollars de rançon aux cybercriminels.
L’utilisation d’un compte à rebours - ou d’autres pratiques pour obtenir un payement rapide de la rançon – a permis au ransomware d’attirer encore plus l’attention des médias. Parmi les autres raisons générant une large couverture mediatique se trouve le volume des activités criminelles. Il y a tout juste un mois, ESET a averti les utilisateurs qu’un nombre impressionnant d'emails infectés propageaient le ransomware, submergeant ainsi les boîtes de réception dans le monde entier.
En faisant semblant de ne contenir que des fichiers inoffensifs,TrojanDownloader.Nemucod essayait en réalité de forcer les victimes à télécharger et à installer des ransomwares bien connus tels que TeslaCrypt ou Locky.
Cette stratégie a été considérée comme efficace par les criminels puisqu'ils l'ont répété plusieurs fois. Ils ont également utilisé plus de variantes du malware tels que CTBLocker ou Filecoder.DG.
Mais le ransomware n’est pas toujours aussi dangereux que ceux sus-cités. Beaucoup d’auteurs de malware veulent profiter de la tendance actuelle et essayent de développer leur propre ransomware et se retrouvent souvent avec un exécutable de faible qualité facile à craquer.
Heureusement pour les usagers, ceci a été le cas pour deux récentes attaques de ransomware – Petya et Jigsaw – qu’ESET a analysé. Tous deux contenaient des défauts de mise en œuvre qui ont permis aux victimes touchées de récupérer leurs fichiers et appareils sans payer un centime.
Redémarrer en tant qu’otage
Petya, publié en premier par Trend Micro, provoque un "écran bleu de la mort" après avoir infiltré Windows,forçant ainsi la victime à redémarrer sa machine. Si l’utilisateur le fait, sa machine ne chargera pas le système d'exploitation et n’affichera qu’une demande de rançon pour un montant de 0.99 bitcoin (environ $431).
Pour ce faire, le master boot record (MBR) est modifié afin de permettre l’utilisation du code du ransomware au lieu du code système. L’étape suivante est l’encryptage du master file table (MFT) qui détaille tous les fichiers selon leur volume, en indiquant leur emplacement ainsi que la structure du répertoire.
Les failles dans Petya
L’analyse d’ESET démontre cependant que Petya (malgré la demande formulée dans le message de rançon) n’encrypte pas les fichiers sur les disques de l’ordinateur mais uniquement dans la table des fichiers. Cette faille permet aux utilisateurs de récupérer leurs fichiers avec certains outils de restauration (ceci peut entraîner certains frais).
Comment le ransomware se diffuse ?
Pour diffuser Petya, les agresseurs ont utilisé des mails déguisés en CV d’employés potentiels. Il n’y a pas de document joint, uniquement un lien qui renvoie vers un espace de stockage Dropbox en ligne.
Si la victime clique et télécharge le fichier Bewerbungsmappe-gepackt.exe, au lieu d’un CV c’est un exécutable à extraction automatique qui est téléchargé sur son appareil et qui libère Petya sur le système d’exploitation. Le nom du fichier laisse à penser que ce ransomware était destiné à des usagers des pays germanophones.
Au moment de la rédaction de cet article, Dropbox avait déjà supprimé le fichier malveillant d’un certain nombre d’endroits mais on ne peut pas garantir que les criminels ne feront pas de nouvelles modifications pour tenter à nouveau leur chance. Désormais, ESET détecte deux variantes de ce ransomware : Diskcoder.Petya.A et Diskcoder.Petya.B.
Un outil de décryptage est d'ailleurs disponible gratuitement depuis lors. Il se base sur les lacunes laissées dans la structure du ransomware et permet à l’utilisateur de récupérer l’ancienne table du fichier maître.
Du ransomware qui veut jouer
Jigsaw fait partie d'une autre famille de ransomware qui a retenu l'attention des chercheurs d'ESET ces derniers temps. Faisant référence au fameux film d’horreur Saw, il essaie de jouer avec les victimes en établissant des règles destructrices. Si l’utilisateur ne paie pas pendant la première heure, le ransomware efface un fichier. S’il ne paie pas au cours de la deuxième heure, le nombre de fichiers effacés passe à deux. Dans les heures qui suivent, le nombre de fichiers augmente de façon exponentielle, avec d’importants dégâts au niveau des données. Jigsaw prévient les victimes que chaque tentative de redémarrage de la machine sera punie par l’effacement de 1000 fichiers supplémentaires
Cependant, en analysant le code du ransomware, les chercheurs d’ESET ont découvert les failles de Jigsaw : il utilise la même clef statique pour tous les encryptages. Un outil de décryptage est d'ores et déja disponible pour les utilisateurs. Dans le passé, il y a eu d’autres variantes du ransomware qui menaçaient d’effacer progressivement les fichiers des victimes, mais Jigsaw est le premier ‘in the wild’ à utiliser cette approche. ESET catégorise cette menace sous Filecoder.Jigsaw.A, Filecoder.Jigsaw.B et Filecoder.Jigsaw.C.
L’imitateur Locky
Un imitateur détecté par la télémétrie ESET comme étant Filecoder.Autolocky.A ou Autolocky en abrégé, est un bon exemple qui illustre comment les concepteurs de malware essaient de s'approprier le travail d'autrui mais échouent lors de la phase d'éxecution.
L'imitateur utilise la même extension pour les fichiers encryptés (.locky) que le dangereusement célèbre Locky. Cependant, grâce à un codage médiocre, la clef de décryptage n’est envoyée que via Internet Explorer et peut facilement être retrouvée dans l’historique de la machine infectée. Les victimes d’Autolocky ont la chance d’avoir un outil de décryptage à leur disposition, leur permettant de récupérer les fichiers.
Comme ces exemples récents le démontrent, les utilisateurs ne doivent pas céder aux tactiques d’intimidation du ransomware et payer les sommes demandées. Il y a des solutions pour contourner ces problèmes et des outils de décryptage sont disponibles pour plusieurs familles de malware centrées sur l’extorsion. Ces outils restaurent les fichiers en toute sécurité et de manière fiable, permettent aux utilisateurs d’économiser de l’argent et empêchant le financement de crimes futurs.
Bien que certains ransomware présentent des failles et ne sont pas parfaits, les cybercriminels améliorent chaque jour leurs logiciels. Dès lors, la prévention est essentielle pour se protéger contre les ransomware - même contre les plus médiocres d'entre eux.
Il faut donc tenir son système d’exploitation et ses logiciel à jour, utiliser un logiciel de sécurité fiable à multiples couches de protection et faire régulièrement un back-up des données importantes qu'il faut prendre soin de stocker offsite. Il faut également être très prudent lors de la consultation d'email ou de la navigation sur Internet. Si vous recevez un message d’d’une source inconnue ou qui semble suspecte, supprimez-le.