Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Analyste
    Inscrit en
    juillet 2013
    Messages
    2 298
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Analyste
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 298
    Points : 74 856
    Points
    74 856
    Billets dans le blog
    2
    Par défaut Un ransomware mal programmé devient incapable de déchiffrer les données des victimes
    Un ransomware mal programmé devient incapable de déchiffrer les données des victimes
    Après le paiement de la rançon

    C’est déjà pénible de payer pour récupérer ses propres données après une « prise en otage » par des logiciels malveillants connus sous le nom de ransomware. Mais, c’est encore plus désagréable de devoir payer la rançon sans aucune possibilité d’avoir accès à nouveau à ses fichiers. C’est dans cette dernière situation que de nombreuses personnes ont probablement été, avec une nouvelle variante mal programmée du ransomware Power Worm.

    Les développeurs de ransomware n’ont aucun intérêt à bloquer les fichiers de leurs victimes après avoir reçu la somme demandée. En effet, si le ransomware a la réputation de ne pas restaurer les données des victimes après le paiement de la rançon, cela garantit qu’aucun utilisateur ne va payer cette somme s’il sait qu’il ne pourra pas récupérer ses données. Pour cette raison, aussi malveillants qu’ils soient, les développeurs de ransomware prennent en général le soin de débloquer les données de leurs victimes, parce qu’ils ne percevront rien tant que ces dernières sont sures de ne pas avoir à nouveau accès à leurs fichiers. L’incapacité de ce nouveau malware à déchiffrer les données des victimes semble donc être le résultat d’une mauvaise programmation de son auteur, et c’est ce que l’analyse technique semble montrer.

    BleepingComputer, qui a reçu l’échantillon du demandeur de rançons, l’a fait analyser par son équipe interne de chercheurs avant d’exposer l’erreur commise par le programmeur dans son code. L’objectif est de permettre à ce développeur de corriger la faille dans son code de sorte que ses prochaines victimes aient au moins la possibilité de récupérer leurs données.

    Le ransomware est un script PowerShell de 54 lignes. Lorsqu’il est exécuté, il débute son infection en supprimant les clichés instantanés ou shadow copies des lecteurs, qui sont utilisés pour restaurer des fichiers. L’objectif est donc d’empêcher les victimes de les utiliser pour tenter une quelconque restauration. Il a ensuite recours à une commande PowerShell qu’il manipule pour obtenir la liste de lecteurs qui sont en écriture. Dans chacun de ces lecteurs, il va maintenant rechercher les fichiers de données ayant une certaine extension présente dans une longue liste prédéfinie. Les fichiers repérés sont ensuite chiffrés en utilisant une clé de chiffrement AES générée aléatoirement.

    L’impossibilité de restaurer les données des victimes après le paiement de la rançon résulte d’une mauvaise programmation à cette étape. En effet, « le développeur avait prévu l’utilisation d’une clé AES statique pour l’ensemble de ses victimes », explique BleepingComputer. « Puisque tout le monde aurait la même clé de déchiffrement, cela permettrait au développeur d’avoir un déchiffreur qui pourrait fonctionner pour tout le monde plutôt que d’avoir à gérer un site de paiement complexe et un moteur de déchiffrement ». Lors de l’exécution du programme, un petit caractère ‘=’ manquant dans l'expression de la variable qui devrait contenir la clé AES décodée génère une clé aléatoire qui, malheureusement, n’est ni enregistrée ni transmise au développeur. La clé est donc perdue après que le script est exécuté.

    « Le problème est que la clé AES n'a pas été correctement bourrée (padding) quand elle a été convertie en une chaîne base64. Lorsque le script PowerShell a essayé de décoder cette chaîne, il a échoué, et au lieu que la variable $RgDhcxSdghWd contienne sa chaîne AES décodée, elle contenait maintenant une valeur NULL ou vide. S’il avait ajouté un caractère ‘=’ de plus à la chaîne, cela aurait fonctionné comme prévu et tout le monde aurait eu la même clé AES », explique BleepingComputer.


    Avec la valeur NULL, la tentative pour le développeur d’initialiser le moteur de chiffrement AES génère plutôt une clé aléatoire pour chaque victime, qu’il est en plus impossible de récupérer. Ce qui signifie qu’il n’y a rien qui puisse être fait pour que les victimes récupèrent leurs données, excepté une restauration à partir d’une sauvegarde, dans le meilleur des cas. Un simple test de l’infection aurait pu permettre de détecter cette faille, estime BleepingComputer.

    Source : BleepingComputer

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi

    Forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif
    Homme Profil pro
    Développeur Concepteur WebMethods
    Inscrit en
    février 2015
    Messages
    73
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Concepteur WebMethods
    Secteur : Finance

    Informations forums :
    Inscription : février 2015
    Messages : 73
    Points : 207
    Points
    207
    Par défaut
    Déjà qu'il faut être un sacré co***** pour adopter ce genre de pratiques, si en plus c'est fait par des incompétents...
    C'est décidément gonflant de vivre dans un monde où traine toujours ce genre de pourritures prêtes à tout pour se faire de l'argent.

  3. #3
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 956
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 956
    Points : 3 214
    Points
    3 214
    Par défaut
    haha il fallait s'en douter.
    Essayant de créer un petit outil d'encryption, on peut vite perdre les clés
    Si la réponse vous a aidé, pensez à cliquer sur +1

  4. #4
    Membre confirmé Avatar de Max Lothaire
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2014
    Messages
    150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2014
    Messages : 150
    Points : 554
    Points
    554
    Par défaut
    Du coup, on peut réclamer le remboursement ou pas ?

  5. #5
    Membre éclairé
    Homme Profil pro
    Webmarketer
    Inscrit en
    mars 2009
    Messages
    377
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmarketer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2009
    Messages : 377
    Points : 722
    Points
    722
    Par défaut
    Je vois bien l'escroc rembourser ses victimes en s'excusant
    La FAQ référencement c'est les 100 réponses aux 100 questions les plus fréquentes en référencement naturel. Ni plus ni moins.

  6. #6
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 175
    Points
    2 175
    Par défaut
    En même temps, ce n'était qu'une question de temps avant qu'un truc comme ça ne se produise. Cette partie du ransomware n'est pas la plus importante pour les criminels, si on y pense.

  7. #7
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    584
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 584
    Points : 2 676
    Points
    2 676
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    Cette partie du ransomware n'est pas la plus importante pour les criminels, si on y pense.
    Si cette partie est importante, pour fidéliser le client

    Si le déchiffrement marche après paiement, l'utilisateur peu prudent va peut être se faire infecté une seconde fois, et repayer (sachant que ça marche).

  8. #8
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    8 677
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 8 677
    Points : 12 343
    Points
    12 343
    Par défaut
    Citation Envoyé par Michael Guilloux Voir le message
    [...] En effet, si le ransomware a la réputation de ne pas restaurer les données des victimes après le paiement de la rançon, cela garantit qu’aucun utilisateur ne va payer cette somme s’il sait qu’il ne pourra pas récupérer ses données. [...]
    Et comment qu'ils vont faire, maintenant, les auteurs de ransonwares, pour faire payer leurs otages ? De la pub vantant les qualités de restauration de leurs produits, comme une vulgaire lessive ou un shampoing ?
    ah lala, on vit une époque...
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  9. #9
    MikeRowSoft
    Invité(e)
    Par défaut
    Beaucoup trop d'avis pour les commenter. Cependant je suis d'accord avec tous ceux cité précédemment.

    Sa me fait penser à SONY, Nintendo, Microsoft, APPLE et bien d'autres qui fermeraient boutique sans garantir que se qui a été achetés est passé du support logiciel sur support soit disant réputer inviolable vers du support logiciel sur du matériel très populaire entre les mains des owners...

  10. #10
    Membre émérite
    Inscrit en
    juin 2009
    Messages
    910
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 910
    Points : 2 727
    Points
    2 727
    Par défaut
    Citation Envoyé par Jipété Voir le message
    Et comment qu'ils vont faire, maintenant, les auteurs de ransonwares, pour faire payer leurs otages ? De la pub vantant les qualités de restauration de leurs produits, comme une vulgaire lessive ou un shampoing ?
    ah lala, on vit une époque...
    Ou une version d'essai : le ransonware propose de restaurer un fichier et un seul

  11. #11
    Membre habitué
    Profil pro
    Concepteur/Développeur
    Inscrit en
    mai 2007
    Messages
    80
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Concepteur/Développeur

    Informations forums :
    Inscription : mai 2007
    Messages : 80
    Points : 197
    Points
    197
    Par défaut
    Faut pas être futé non plus pour exécuter un script PowerShell qui demande obligatoirement une élévation Admin pour certaines commandes et si ce script est exécuté à distance (par un programme par exemple) c'est également refusé par défaut ! alors pourquoi accepter d'exécuter un script super louche ?

  12. #12
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    584
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 584
    Points : 2 676
    Points
    2 676
    Par défaut
    Citation Envoyé par Dasoft Voir le message
    Faut pas être futé non plus pour exécuter un script PowerShell qui demande obligatoirement une élévation Admin pour certaines commandes et si ce script est exécuté à distance (par un programme par exemple) c'est également refusé par défaut ! alors pourquoi accepter d'exécuter un script super louche ?
    L'utilisateur courant ne connait pas bien la différence utilisateur/admin. Il voit un popup, il clique ok/oui.

    C'est comme ça que les virus se propagent depuis toujours, et ça continuera. Exemple très récent, Dridex, qui se diffuse via un fichier Word contenant une macro malveillante. Or en 2015 les éditeurs types Word ont appris de leurs erreurs et les macros sont bloquées par défaut. Sauf que le fichier contient tout un mélange de caractère incompréhensible, et il y a juste au début un message d'avertissement disant "Problème d'encodage : pour pouvoir visualiser le document, veuillez activer les macros".
    Selon toi, que fait l'utilisateur courant?

  13. #13
    Membre régulier
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2012
    Messages
    60
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2012
    Messages : 60
    Points : 93
    Points
    93
    Par défaut
    @Dasoft, ca va très vite, imagine que tu installe un programme (winrar par exemple), tu as le setup.exe qu'il faut lancer avec privilege admin pour l'installer.

    Imagine maintenant que le setup est été modifié pour pouvoir lancer le script louche avant de lancer le réel installeur.

    D'un point de vue utilisateur il installe simplement le logiciel qu'il voulait et les modifications systeme ne sont pas visible, c'est rare d'avoir un virus qui s'installe en cliquant sur JEVAISDETRUIRETAMACHINE.exe

  14. #14
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    744
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 744
    Points : 1 442
    Points
    1 442
    Par défaut
    Bonjour Dasoft : "Pour voler un sac il faut avoir accès au sac, il faut vraiment être trop bête pour confier son sac au voleur." As tu d'autres réflexion aussi intelligentes?

    Franchement se faire avoir peut arriver a tout le monde. C'est sûr, plus facilement a celui qui fait moins attention. Mais on est pas toujours parano et alors oui ça peut arriver.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  15. #15
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    744
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 744
    Points : 1 442
    Points
    1 442
    Par défaut
    Citation Envoyé par ocalik Voir le message
    @Dasoft, ca va très vite, imagine que tu installe un programme (winrar par exemple), tu as le setup.exe qu'il faut lancer avec privilege admin pour l'installer.

    Imagine maintenant que le setup est été modifié pour pouvoir lancer le script louche avant de lancer le réel installeur.

    D'un point de vue utilisateur il installe simplement le logiciel qu'il voulait et les modifications systeme ne sont pas visible, c'est rare d'avoir un virus qui s'installe en cliquant sur JEVAISDETRUIRETAMACHINE.exe
    Mais même pas, il suffit d'aller sur un site infecter. Par exemple tu va sur developpez.com qui se jour là est infecté. Il utilise une faille javascript ou flash, pour un peu que ton navigateur/plugin ne soit pas a jour, il est sur ton PC. Ensuite une simple popup "Acceptez vous de mettre a jour Flash?" tu dis oui sans te rendre compte que ce n'est pas dans la barre de notification. Ou pire il peux utiliser une autre faille système si par exemple ton PC tourne sous Windows XP...
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  16. #16
    Membre averti

    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2013
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2013
    Messages : 88
    Points : 445
    Points
    445
    Billets dans le blog
    1
    Par défaut
    Je ne voit pas en quoi le voleur se doit de décrypter les données de sa victime. Le voleur a eu ses sous, la victime a eu son "espoir" de retrouver ses fichiers à nouveau.

  17. #17
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 956
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 956
    Points : 3 214
    Points
    3 214
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Si cette partie est importante, pour fidéliser le client

    Si le déchiffrement marche après paiement, l'utilisateur peu prudent va peut être se faire infecté une seconde fois, et repayer (sachant que ça marche).
    Un abonnement premium
    Si la réponse vous a aidé, pensez à cliquer sur +1

  18. #18
    Membre actif Avatar de monwarez
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2009
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2009
    Messages : 144
    Points : 278
    Points
    278
    Par défaut
    Il est vrai qu'ils auraient put le détecter en faisant un test dans une machne virtuelle par exemple, mais bon es-ce une bonne idée ? Il manquerait plus que la VM ai accès en écriture à un dossier partagé ( ou même mieux la racine du lecteur de l'ordinateur hôte) et encrypte ce dernier, l'arroseur arrosé en quelque sorte.

  19. #19
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    février 2004
    Messages
    19 872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2004
    Messages : 19 872
    Points : 39 718
    Points
    39 718
    Par défaut
    Citation Envoyé par Grimly Voir le message
    Je ne voit pas en quoi le voleur se doit de décrypter les données de sa victime. Le voleur a eu ses sous, la victime a eu son "espoir" de retrouver ses fichiers à nouveau.
    Parce que si ça se sait, les gens ne paieront plus, puisqu'ils sauront que ça ne leur permettra pas de récupérer leurs fichiers.

  20. #20
    Membre actif Avatar de MadScratchy
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    75
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2005
    Messages : 75
    Points : 205
    Points
    205
    Par défaut
    On aide les escrocs maintenant ? Ne valait-il pas mieux laisser ce ransomware buggé, et réduire la durée de vie de celui-ci ?

    - Victimes : "il ne marche pas, donc on ne paie pas"
    - Escroc(s) : "Et zut, c'est mort !"

    Le seul intérêt est d'analyser le code (et de voir les bugs en passant) pour mieux contrer ce genre de menace, c'est mieux que de corriger le code d'un ransomware en pensant aider les futurs victimes...

Discussions similaires

  1. Mon programme est incapable de reconnaitre hypermedia
    Par firasovich dans le forum Général Java
    Réponses: 0
    Dernier message: 04/04/2014, 19h07
  2. Réponses: 7
    Dernier message: 03/05/2007, 16h58
  3. Réponses: 8
    Dernier message: 20/02/2007, 18h33
  4. Réponses: 1
    Dernier message: 07/09/2006, 20h56
  5. Un programme qui lance quelquechose toute les 50 minutes?
    Par altadeos dans le forum C++Builder
    Réponses: 4
    Dernier message: 12/03/2006, 12h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo