Depuis maintenant 1 mois, le ransomware inonde l’actualité. Voici donc un premier état des lieux sur ce sujet brûlant.
Les ransomwares qui ont mis à mal les entreprises ce mois-ci:
- Locky
- CTB-Locker
- TeslaCrypt
Comment ça marche avec un schéma provenant de l’AFP:
Ces ransomwares sont des dérivés de programmes de crypto sous Windows. Un bulletin d’alerte du CERT-FR a été publié en indiquant les URLs de téléchargement du binaire Locky http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html Mais les autres OS sont également vulnérables! Présenté par Palo Alto Networks comme le premier ransomware pleinement fonctionnel pour OS X, KeRanger Pour les chercheurs de Bitdefender, KeRanger est une réécriture de Linux.Encoder. La particularité de celui-ci, c’est sa méthode de diffusion qui ne s’est pas faite par le phishing mais par une release de Transmission, la version 2.9 datant du 28 février, après des années sans mise à jour pour ce logiciel BitTorrent. Comment se protéger ?
La méthode manuelle pour Locky:
- Lancer la commande Executer de Windows avec la combinaison de touches « Windows + R »
- Entrer « regedit » et valider en appuyant sur OK afin de lancer l'éditeur de registre
- Aller dans HKEY_CURRENT_USER puis dans SOFTWARE
- Cliquer sur Edition > Nouveau > Clé
- Nommer cette nouvelle clé Locky
- Effectuer un clic droit sur cette dernière, puis cliquer sur Autorisation...
- Cocher la case Refuser pour l'option Contrôle totale
- Valider et quitter l'éditeur de registre
Les méthodes automatiques fournies par les éditeurs: Les trois ransomwares cités ont tellement fait de bruit que les éditeurs anti-virus ont pris le problème à bras le corps et ont commencé à inclure la protection dans leur Anti-Virus.Le vaccin: Bitfefender a également mis à disposition un vaccin pour ces 3 ransomwares nommés Bitdefender Anti-Ransomware
Computerworld explique que le nouvel outil de Bitdefender tire parti de contrôles effectués par les ransomwares précités afin de laisser croire que le système a déjà été infecté avec leurs variantes actuelles. En somme, cela revient à duper les rançongiciels eux-mêmes dans le but d'éviter une véritable infection. Ce qui arrive pour le mois d’Avril:Petya qui s'annonce encore plus complexe à déjouer. Une fois en place, le ransomeware redémarre la machine et réécrit le Master Boot Record non seulement pour bloquer le chargement de Windows, mais également pour mettre en place l'écran qui invite l'utilisateur à payer pour récupérer l'accès à ses données.
L'ensemble des données du disque est alors chiffré avec un algorithme AES 256 et une clé RSA 4096 bits. Le chiffrement concerne également l'accès à la table de fichier principale (MTF). Pour aller plus loin: Si vous avez rencontré ce malware et que vous souhaitez l’analyser, il existe une distrib pour du Reverse-Engineering: https://remnux.org/Enfin, n’oubliez pas que la meilleure protection reste votre vigilance!
Sources :
http://blogs.afp.com/makingof/?post/le-diable-se-cache-dans-la-piece-jointe
http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
http://www.generation-nt.com/locky-ransomeware-petya-plus-virulent-actualite-1926764.html
http://www.generation-nt.com/keranger-malware-mac-ransomware-linux-bitdefender-actualite1925811.html
