IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le ransomware OphionLocker successeur de CTB-Locker


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 180
    Points : 149 226
    Points
    149 226
    Par défaut Le ransomware OphionLocker successeur de CTB-Locker
    Après CTB-Locker, le ransomware OphionLocker utilise Tor pour communiquer avec le serveur C&C
    et le chiffrement à l'aide de courbes elliptiques

    Les chercheurs de l’expert en sécurité F-Secure ont analysé le comportement d’une nouvelle souche de ransomware utilisant le chiffrement à l'aide de courbes elliptiques (EEC - Elliptic curve cryptography -) avancée ainsi que l’infrastructure Tor. Les premiers à l’avoir repérée sont les chercheurs de Trojan7Malware qui l’ont baptisé OphionLocker sur un billet rédigé le 09 décembre. Le malware s’est propagé via une campagne utilisant le kit d’exploit RIG, un kit d’exploit qui est en vente dans le marché noir depuis avril 2014. En mai 2014, Kahu Security expliquait que ce kit d’exploit utilisait les failles suivantes : Java – CVE-2012-0507, CVE-2013-2465, IE 7/8/9 – CVE-2013-2551, IE 10 – CVE-2013-0322, Flash – CVE-2013-0634, Silverlight – CVE-2013-0074.

    Une fois que les fichiers de la victime son chiffrés en utilisant une EEC, un pop-up va en informer l’utilisateur et lui fournir une URL pour acheter la clé de déchiffrement : « vos fichiers importants sur cet ordinateur ont été chiffrés : photos, vidéos, documents, etc. Afin de pouvoir restaurer ces fichiers vous devez vous rendre à (…) et acheter la clé pour déchiffrer tous vos fichiers. A partir de maintenant vous avez 72 heures pour payer ou la clé sera supprimée de manière définitive de nos serveurs et vous ne récupérerez JAMAIS vos fichiers. »


    Les chercheurs de F-Secure expliquent que plusieurs fichiers texte au format ENCRYPTED[..].txt seront créés et contiennent un identifiant matériel qui a été généré pour identifier la machine de la victime. « Votre hwid est : »


    Ledit hwid (sans doute hardware id) dans le lien qui est fourni dans la demande de rançon servira à payer pour 1 Bit Coin. Cependant, si OphionLocker s’attaque à un environnement virtuel, il se comportera légèrement différemment : même s’il vous donne toujours votre hwid, le message qui s’affichera ne vous demandera pas de payer quoi que ce soit. Une clé de déchiffrement donnée contre … rien en échange, trop beau pour être vrai n’est-ce pas ? Vous avez raison. Les chercheurs sont allé jusqu’au bout de la manipulation et ont entré la clé qu’ils ont reçu « gratuitement ». Après l’avoir entré, voici le message qu’ils obtiennent : « vos fichiers sont toujours chiffrés, allez à l’adresse (…) pour voir la marche à suivre, si vous l’avez déjà fait, svp attendez 24 heures avant de réessayer »


    Une fois qu’ils ont cliqué sur le bouton « ok », un pop-up les informait que leurs fichiers ont été déchiffrés et qu’ils pouvaient les utiliser comme avant. Cependant, il n’en était rien : aucun fichier n’a été déchiffré.

    Fondamentalement, OphionLocker utilise une URL Tor2web pour donner la marche à suivre sur la façon de payer pour le déchiffrement. Les clés publiques sont également intégrées dans le malware afin que le chiffrement puisse commencer sans une connexion Internet ou sans action préalable de la victime - ce qui le rend doublement difficile à arrêter, expliquent les chercheurs de Trojan7Malware.

    Pour rappel, les chiffrements ECC sont utilisés pour maintenir une sécurité maximale, mais par la création de clés de chiffrement plus petites. D’ailleurs, les chercheurs estiment que « résoudre un problème de logarithme discret sur une courbe elliptique est réputé être un problème plus difficile que le problème similaire dans les entiers modulo n. C'est pourquoi une clé de 200 bits (qui mesure, pour une courbe elliptique, la taille du corps fini K de cette courbe) pour les chiffres basés sur les courbes elliptiques est plus sûre qu'une clé de 1024 bits pour le RSA ».

    OphionLocker n’est pas le premier ransomware à faire usage de Tor et du chiffrement ECC puisqu’en août dernier F-Secure avait vu les mêmes caractéristiques chez CTB-Locker. Cependant, il s’agit là d’un autre exemple du niveau de sophistication des campagnes de piratages lancées par les éditeurs de malware.

    Source : F-Secure, trojan7malware, kahu security, bibmath
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2008
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2008
    Messages : 341
    Points : 1 474
    Points
    1 474
    Par défaut Par force brut
    Hello,

    Je dis surement une bêtise, mais aujourd'hui, ne peut on pas tout casser par force brut? Un programme qui utiliserait le parallélisme de nos cher GPU pourrait en venir à bout? non?
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence de celui-ci

  3. #3
    Membre éclairé
    Homme Profil pro
    Inscrit en
    juin 2010
    Messages
    319
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : juin 2010
    Messages : 319
    Points : 842
    Points
    842
    Par défaut
    Citation Envoyé par eldran64 Voir le message
    Hello,

    Je dis surement une bêtise, mais aujourd'hui, ne peut on pas tout casser par force brut? Un programme qui utiliserait le parallélisme de nos cher GPU pourrait en venir à bout? non?
    Le parallélisme, par définition informatique, veut simplement dire qu'il existe de multiples cœurs pouvant être dédiés chacun à une tâche différente. Si pourtant un seul CPU mono-cœur semble pourtant pouvoir traiter plusieurs choses en même temps, c'est juste qu'il "entrelace" les commandes de chaque tâche, ce qui ralentit au final l'exécution de chacune des tâches.

    Dans notre cas, si on prend un CPU du marché public quad core à 3,1 GHz par cœur, cela signifie que chaque cœur peut réaliser 3,1.10^9 traitements à la seconde. A supposer que chaque traitement n'est dédié qu'à tester une clé, on a donc 12,4.10^9 traitements avec un quad cœur.

    Une clé à 128 bits signifie qu'il y a 2^128 possibilités, soit environ 3,4.10^38 au total. En divisant par 12,4.10^9, puis par 31,5.10^6 pour le nombre de secondes dans l'année, on obtient ... 8,5.10^20 années de traitements
    Imaginez alors avec 200 bits !

    D'où la nécessité de super-calculateurs accumulant des puissances de calculs phénoménales pour réduire au plus petit ce traitement, et surtout l'existence de méthodes d'analyse cryptographique, qui permettent de réduire le nombre total de combinaisons à envisager.
    Et d'où aussi la demande du NSA / CIA / agences américaines d'inclure des backdoors dans l'immense majorité des logiciels de chiffrage grand public (même pro) pour qu'ils ne se fassent pas ch*er à attendre des mois s'ils veulent obtenir des infos
    "Donnez un poisson à un Homme, et il mangera un jour. Apprenez-lui à pêcher, et il mangera tous les jours."

Discussions similaires

  1. [Conception] Locker des tables
    Par BernardT dans le forum PHP & Base de données
    Réponses: 4
    Dernier message: 26/06/2006, 16h39
  2. Locker une texture de RENDERTARGET ???
    Par supergrey dans le forum DirectX
    Réponses: 7
    Dernier message: 13/04/2006, 13h53
  3. [C#] locker une fenêtre MDI
    Par superbobo dans le forum Windows Forms
    Réponses: 2
    Dernier message: 03/04/2006, 16h39
  4. [Debutant][Conception][appli] locker une application
    Par floweez dans le forum Général Java
    Réponses: 6
    Dernier message: 25/11/2004, 09h22
  5. [CVS] "locker" un fichier sous eclipse
    Par Yan83 dans le forum Eclipse Java
    Réponses: 2
    Dernier message: 10/04/2004, 15h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo