Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Ransomwares : les raffinements de CryptoWall 4.0, les erreurs de Power Worm

Il y a le bon ransomware et le mauvais ransomware
Logiciel 4 min
Ransomwares : les raffinements de CryptoWall 4.0, les erreurs de Power Worm
Crédits : Xebeche/iStock

L’actualité sur les ransomwares, qui bloquent les données personnelles en exigeant une rançon, mélange les réussites techniques et les plantages imprévus. Ainsi, CryptoWall 4.0 se manifeste par quelques « raffinements » qui le rendent encore plus dangereux, tandis que Power Worm est si mal développé qu’il oublie la clé de chiffrement. 

La version 4.0 du ransomware CryptoWall franchit encore une nouvelle étape dans l’efficacité de la demande de rançon. Le concept reste le même : par l’exploitation d’une faille ou pièce jointe contaminée dans un email, l’utilisateur installe sans le savoir un logiciel qui va chiffrer ses données personnelles et ne les lui rendre que s’il paye une certaine somme d’argent. L’objectif de cette version 4.0 est clairement de verrouiller un peu plus les voies de recours afin que le paiement soit la seule option possible.

Même les noms de fichiers sont désormais chiffrés

C’est le site Bleeping Computer qui a détaillé en premier les modifications apportées à cette nouvelle mouture du malware. Le changement le plus significatif est qu’il peut maintenant chiffrer les noms eux-mêmes des fichiers. Pour quoi faire ? Tout simplement pour que l’utilisateur touché ne puisse même plus savoir de quel fichier il s’agissait avant. Il ne peut plus faire la différence entre des données cruciales et celles qui le sont moins, le laissant encore un peu plus désemparé.

Autre « fonctionnalité » ajoutée, toujours pour accentuer la sensation de blocage : la suppression des points de restauration. Rappelons que Windows en crée automatiquement un à chaque installation de logiciels, de pilotes ou de mises à jour. L’utilisateur doit normalement pouvoir revenir à un état fonctionnel si sa machine rencontre des difficultés, sans toucher aux données personnelles. Sans les points de restauration, il n’est donc pas possible de restaurer le dernier bon état connu.

CryptoWall
Crédits : Bleeping Computer

Ne laisser aucune échappatoire

Plus difficile à repérer par les antivirus selon Heimdal Security, CryptoWall 4.0 va jusqu’à se moquer des personnes affectées, les félicitant de faire désormais « partie d’une grande communauté ». Un nouveau texte explicatif est fourni et s’ouvre dans le navigateur pour indiquer très clairement à l’utilisateur ce qui lui arrive. Il le prévient qu’il sera sans doute tenté d’aller sur Internet chercher des infos et suivre des conseils, mais que certaines actions ont plus de chances de lui faire perdre définitivement ses données qu’autre chose. Verrou numérique, étreinte psychologique.

L’attitude à adopter face aux ransomwares dépend très largement des cas. Pour le FBI, il est souvent préférable de payer, l’agence se basant sur certains constats : les sommes demandées sont de moins en moins importantes à cause de la multiplication des cas, et il en va du « business model » même de ce type de piratage de restaurer les données sous peine d’essuyer un refus systématique des utilisateurs touchés. Entre les mois de juin 2014 et 2015, 18 millions de dollars auraient ainsi été récupérés par les pirates pour les seuls États-Unis. En France, la ligne de conduite recommandée par StopRansomware reste de refuser tout paiement.

Power Worm ne restaure pas les fichiers, même quand il essaye réellement

Par ailleurs, si CryptoWall est clairement le ransomware le plus connu, il est très loin d’être le seul. Le succès de ce type d’action malveillante et des milliers de variantes ou de logiciels différents existent aujourd’hui. Mais CryptoWall reste une référence, tant par sa diffusion que par la « qualité » de son code. Et on ne peut clairement pas en dire autant de certaines autres créations qui provoquent de vraies catastrophes pour les données personnelles.

C’est le cas par exemple de Power Worm, qui mène une mission équivalente : chiffrer les données et exiger un paiement. Mais l’opération de chiffrement est beaucoup moins évoluée que celle de CryptoWall, qui utilise une clé différente pour chaque fichier. Ici, une seule clé sert à chiffrer toutes les données. Malheureusement, une erreur dans la conception du malware provoque une disparition de cette clé. Résultat, même si l’utilisateur paye, il ne pourra pas récupérer ses fichiers.

Selon le chercheur en sécurité Nathan Scott, l’erreur a été commise par le ou les développeurs en essayant de simplifier le code, notamment pour l’étape du déchiffrement. Ainsi, au lieu d’affecter un identifiant à chaque utilisateur, il utilise le même pour tous les comptes. Le script PowerShell qui devrait générer la clé renvoie donc un résultat vide et la clé générée est effacée après avoir été utilisée. Il ne reste donc pas grand-chose à faire d’autre que de réinstaller le système et de restaurer une éventuelle sauvegarde.

81 commentaires
Avatar de Que_la_Pâte_soit_avec_vous INpactien
Avatar de Que_la_Pâte_soit_avec_vousQue_la_Pâte_soit_avec_vous- 11/11/15 à 10:28:19

Le mauvais ransomware, il voit un fichier, il le chiffre direct.

Le bon ransomware, il voit un fichier ... il le chiffre aussi, mais c'est un bon ransomware. :francais:

Avatar de odoc Abonné
Avatar de odocodoc- 11/11/15 à 10:38:10

Que_la_Pâte_soit_avec_vous a écrit :

Le mauvais ransomware, il voit un fichier, il le chiffre direct.

Le bon ransomware, il voit un fichier ... il le chiffre aussi, mais c'est un bon ransomware. :francais:

:huit:

Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 11/11/15 à 10:50:30

jusqu'où les Hackers poussent le "raffinement" ?
même..le FBI conseille de payer la rançon...alors qu'il sensé lutter CONTRE le racket !!! :eeek2:

mais...dans QUEL Monde vit-on ? :reflechis:

Avatar de d1v4d INpactien
Avatar de d1v4dd1v4d- 11/11/15 à 11:01:05

"le dernier bien état connu.""ont plus de changes de lui ""Ainsi, au lieu d’affectant un identifiant "

Besoin d'un café vincent?

Avatar de lionnel INpactien
Avatar de lionnellionnel- 11/11/15 à 11:04:03

vizir67 a écrit :

jusqu'où les Hackers poussent le "raffinement" ?
même..le FBI conseille de payer la rançon...alors qu'il sensé lutter CONTRE le racket !!! :eeek2:
mais...dans QUEL Monde vit-on ? :reflechis:

Plus il y a de "pigeons" qui payent, plus il y a de mouvements financiers, donc plus de chances de remonter la filière. C'est surement plus facile de tracer 1000 mouvements de 100$ qu'un seul de 100000.

Avatar de Nightlight Abonné
Avatar de NightlightNightlight- 11/11/15 à 11:04:03

J'ai déjà envoyé un signalement.
La prochaine fois n'hésite pas ;).

Avatar de harkosh INpactien
Avatar de harkoshharkosh- 11/11/15 à 11:05:26

bahhh on est férié... il a p'tet les nerfs ^^

Avatar de d1v4d INpactien
Avatar de d1v4dd1v4d- 11/11/15 à 11:08:11

ah  j'avais pas vu qu'y'avait un mailto sur la signature :) my bad...

Avatar de d1v4d INpactien
Avatar de d1v4dd1v4d- 11/11/15 à 11:09:15

payé double j’espère :p

Avatar de Nightlight Abonné
Avatar de NightlightNightlight- 11/11/15 à 11:13:08

Je t'avouerai que je passe par le signalement d'habitude comme c'est une erreur sur l'article.
Je crains que leur email soit pollué et que ça ne soit pas corrigé rapidement en envoyant par le mailto.

Édité par Nightlight le 11/11/2015 à 11:16
Il n'est plus possible de commenter cette actualité.
Page 1 / 9