IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des chercheurs ont découvert le premier ransomware écrit en Go


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 495
    Points
    196 495
    Par défaut Des chercheurs ont découvert le premier ransomware écrit en Go
    Des chercheurs ont découvert le premier ransomware écrit en Go,
    et ont repéré une faille dans son mécanisme de chiffrement

    Si le langage Go de Google gagne en popularité comme l’indique des baromètres à l’instar de l’index Tiobe où il est monté à la 16e place du classement,

    C’est le spécialiste en sécurité Dr. Web qui a mis le doigt sur une première variante de ransomware écrite en Go. Le logiciel malveillant, identifié sous le nom générique Trojan.Encoder.6491, se propage via un fichier nommé Windows_Security.exe, probablement dans le but de se faire passer pour une mise à jour de sécurité Windows juste après le traditionnel Patch Tuesday.

    Avant de se déployer, il procède comme suit :
    1. il détermine le nom son fichier d’exécution et voir s’il correspond à “Windows_Security.exe”. Si c’est le cas, il passe directement à l’étape 6 ;
    2. il supprime le fichier %APPDATA%\Windows_Update ;
    3. il crée le fichier %APPDATA%\Windows_Update ,
    4. il se copie dans le fichier %APPDATA%\Windows_Update sous le nom Windows_Security.exe ;
    5. il supprime le fichier exécutable d’origine et exécuter %APPDATA%\Windows_Update\Windows_Security.exe, ce qui va marquer la fin du processus source ;
    6. si le fichier depuis lequel le cheval de Troie a été lancé n’est pas nommé Windows_Update, le logiciel arrête l’installation ;
    7. le logiciel exécute la commande
      REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V Windows-Defender /t REG_SZ /F /D %APPDATA%\Windows_Update\Windows_Security.exe
    8. le logiciel exécute les commandes suivantes (les chaînes de caractères sont chiffrées avec Base64)
      Code : Sélectionner tout - Visualiser dans une fenêtre à part
      1
      2
      attrib +H +S %APPDATA%\\Windows_Update\\
      attrib +H +S %APPDATA%\\Windows_Update\\Windows_Security.exe
    9. il se copie sous le nom %TEMP%\\Windows_Security.exe dans les fichiers temporaires et s’arrête (l'installation est terminée).

    Trojan.Encoder.6491 utilise un système de chiffrement qui repose sur l'algorithme AES. Vous pouvez le repérer par la façon dont il renomme les fichiers après les avoir chiffrés. Par exemple, le ransomware prend un fichier nommé photo.png et encode son nom en utilisant l'algorithme Base64, fichier auquel il ajoute le nom d’extension ENC comme ceci : cGhvdG8 = .enc.

    La bonne nouvelle c’est que les chercheurs de Dr.Web ont repéré des failles dans le mécanisme de chiffrement du ransomware et ont été en mesure de développer un outil pour déchiffrer les fichiers. La mauvaise nouvelle c’est que cet outil n’a été mis à la disposition que des utilisateurs payants de la solution antivirus. Ironiquement, la rançon et les frais de licence de Dr Web oscillent tous les deux autour de 30 dollars.

    Source : Dr Web

    TIOBE : Le langage de programmation Go de Google gagne en popularité, favorisé par la popularisation de Docker

    Les ransomwares pourraient causer un milliard de dollars de dommages aux entreprises en 2016 selon une étude
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2013
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Bâtiment

    Informations forums :
    Inscription : Avril 2013
    Messages : 106
    Points : 373
    Points
    373
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    La bonne nouvelle c’est que les chercheurs de Dr.Web ont repéré des failles dans le mécanisme de chiffrement du ransomware et ont été en mesure de développer un outil pour déchiffrer les fichiers. La mauvaise nouvelle c’est que cet outil n’a été mis à la disposition que des utilisateurs payants de la solution antivirus. Ironiquement, la rançon et les frais de licence de Dr Web sont oscillent tous les deux autour de 30 dollars.
    [Trolldi en avance]
    Si un adepte des théories des complots passe ici, pas de doute qu'il y verra plus qu'un simple hasard.
    Sans doute aussi une intervention d'un état étranger etc...

  3. #3
    Membre à l'essai
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2015
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Juin 2015
    Messages : 16
    Points : 12
    Points
    12
    Par défaut
    @vanskjære

    Question philosophique :"Est-ce que rejeter l'idée qu'on puisse y voir plus qu'un simple hasard ne serait pas une forme de trollage disons 'plus politiquement correct' ?"

  4. #4
    Nouveau membre du Club
    Homme Profil pro
    qdqsdqd
    Inscrit en
    Juin 2014
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Dominique Rep.

    Informations professionnelles :
    Activité : qdqsdqd

    Informations forums :
    Inscription : Juin 2014
    Messages : 17
    Points : 32
    Points
    32
    Par défaut Comment reproduire la partie 5
    Bonjour, sans parler de virus j"aimerais doter l'un de mes programmes de mise à jour "autonomes". Une fois que j'ai télécharger l'executable à jour, j'aimerais le lancer à la place de l'ancien et supprimer l'ancien... Une.idée ? D'avance merci

  5. #5
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    Après le premier bébé en JS, c'est au tour du Go... Je vous propose que demain ce soit un rasomware en P / R ? Qui dit mieux ?
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

Discussions similaires

  1. Réponses: 64
    Dernier message: 15/02/2020, 19h39
  2. Réponses: 20
    Dernier message: 18/04/2016, 13h30
  3. Réponses: 8
    Dernier message: 25/01/2011, 10h23
  4. Réponses: 36
    Dernier message: 01/04/2010, 09h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo