La grande famille des rançongiciels compte un nouveau venu. Baptisé Ransom32, il a la particularité d’être le premier du genre à être développé intégralement en JavaScript. Une caractéristique qui lui ouvre les portes de tous les systèmes d’exploitation ou presque, et qui montre une importante évolution.
Un rançongiciel est un logiciel malveillant, qui chiffre les données de l'utilisateur pour lui réclamer une rançon. Si la victime paie dans le délai imparti, il a de grandes chances de retrouver ses fichiers, même s'il n’y a aucune garantie. S’il ne le fait pas, c’est l’assurance de tout perdre.
Le succès de ce type de menace tient évidemment à la peur de perdre des données importantes, soit parce qu’elles représentent une grande quantité de travail, soit parce qu’il s’agit de souvenirs, comme dans le cas de photos. On se souvient qu’au FBI, la recommandation est d’ailleurs de payer, pour deux raisons. D’une part, les chiffrements utilisés rendent souvent très complexe la récupération des données. D’autre part, ne pas rendre les informations est « mauvais pour le business » : personne n’imaginera plus que les fichiers sont récupérables et donc ne paiera. En France, l’initiative StopRansomware, soutenue par la Gendarmerie nationale, recommande plutôt de ne jamais payer.
Ransom32, premier à se servir du JavaScript
Comme n’importe quel domaine des malwares, les « ransomwares » évoluent sans cesse, leurs auteurs cherchant à les rendre toujours plus efficaces. Cette efficacité peut se mesurer de diverses manières. Par exemple, pourquoi pas la faculté de pouvoir être exécuté indifféremment sur Windows, OS X ou Linux ? C’est le cas de Ransom32, du moins en théorie. Il a pour principale caractéristique d’être entièrement écrit en JavaScript, un langage que l’on retrouve habituellement pour le développement des pages web. Et ce n’est pas un hasard.
Ransom32 a été découvert par la société de sécurité EMSISoft dans un archive auto-extractible WinRAR pour Windows. Il utilise le framework NW.js (Node-Webkit), lui-même conçu pour le développement basé sur Node.js et Chromium. Ce framework est conçu pour permettre aux applications web de fonctionner pratiquement avec les mêmes privilèges qu’une application classique, leur offrant notamment la possibilité de sortir de la sandbox normalement présente dans le navigateur.
Une grande adaptabilité
Le rançongiciel commence par infecter une machine en étant envoyé sous forme de pièce jointe dans un email ayant très souvent un sujet parmi les suivants : notification de livraison, messages vocaux en attente, et globalement tout ce qui pourrait attirer l’attention. L’internaute, s’il ne fait pas attention (ce qui est très souvent l’origine de la contamination), ouvre la pièce jointe et lance l’infection sans y prendre garde. Ransom32 chiffre alors les données personnelles en AES 128 bits (elle-même chiffrée puis stockée dans chaque fichier remanié) puis réclame une rançon en Bitcoins. Il est connecté à un serveur command-and-control (C&C) à travers une liaison passant par le réseau Tor.
Selon le chercheur Fabian Wosar d’EMSISoft, il n’a pour l’instant été trouvé qu’un exécutable pour Windows, mais il indique que la conception de Ransom32 le rend très facilement adaptable pour toutes les autres plateformes, ce qui fait toute la différence. NW.js étant un framework tout à fait classique, le système lui-même ne se méfie pas. Comme d'habitude, et comme EMSISoft a intérêt de le rappeler, un antivirus à jour donne de meilleures chances de le détecter et de le bloquer. Cela même si, deux semaines après sa découverte, Ransom32 ne serait pas entré dans toutes les bases.
Tout est fait pour faciliter le travail des pirates
Par ailleurs, tout dans la conception de Ransom32 a été fait pour simplifier la vie de ceux qui s’en servent pour attaquer. Il propose ainsi un vrai tableau de bord permettant de renseigner facilement les quelques informations demandées, comme la rançon qui sera exigée. Tout pirate disposant d’un compte Bitcoin peut se servir de Ransom32. Il a été pensé littéralement comme un « ransomware-as-a-service » et, toujours selon EMSISoft, il est commercialisé sur les forums spécialisés via une formule simple : les auteurs demandent 25 % des gains réalisés via leur création.
La protection la plus efficace contre ce type de menace reste la sauvegarde régulière des données sur un autre support. Ici, les solutions synchronisées de sauvegarde dans le cloud ne sont pas d’un grand secours si l’on utilise un client local, comme dans les cas de OneDrive, Google Drive ou DropBox (même si ce dernier permet de revenir sur d'anciennes versions pendant 30 jours). Les fichiers sont en effets présents sur le disque et, lors de leur chiffrement, sont détectés comme modifiés par le client, qui envoie alors les différences au serveur concerné.
Par ailleurs, il est crucial de faire attention aux emails que l’on reçoit et à la vérification de l’expéditeur. Ransom32 se signale par le poids important de l’archive qui le contient : 32 Mo. Certains se méfieront donc instantanément, tandis que d’autres verront un signe légitime que le fichier est bien ce qu’il prétend être, comme dans le cas d’un message vocal.
