Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Un ransomware mal programmé devient incapable de déchiffrer les données des victimes
    Un ransomware mal programmé devient incapable de déchiffrer les données des victimes
    Après le paiement de la rançon

    C’est déjà pénible de payer pour récupérer ses propres données après une « prise en otage » par des logiciels malveillants connus sous le nom de ransomware. Mais, c’est encore plus désagréable de devoir payer la rançon sans aucune possibilité d’avoir accès à nouveau à ses fichiers. C’est dans cette dernière situation que de nombreuses personnes ont probablement été, avec une nouvelle variante mal programmée du ransomware Power Worm.

    Les développeurs de ransomware n’ont aucun intérêt à bloquer les fichiers de leurs victimes après avoir reçu la somme demandée. En effet, si le ransomware a la réputation de ne pas restaurer les données des victimes après le paiement de la rançon, cela garantit qu’aucun utilisateur ne va payer cette somme s’il sait qu’il ne pourra pas récupérer ses données. Pour cette raison, aussi malveillants qu’ils soient, les développeurs de ransomware prennent en général le soin de débloquer les données de leurs victimes, parce qu’ils ne percevront rien tant que ces dernières sont sures de ne pas avoir à nouveau accès à leurs fichiers. L’incapacité de ce nouveau malware à déchiffrer les données des victimes semble donc être le résultat d’une mauvaise programmation de son auteur, et c’est ce que l’analyse technique semble montrer.

    BleepingComputer, qui a reçu l’échantillon du demandeur de rançons, l’a fait analyser par son équipe interne de chercheurs avant d’exposer l’erreur commise par le programmeur dans son code. L’objectif est de permettre à ce développeur de corriger la faille dans son code de sorte que ses prochaines victimes aient au moins la possibilité de récupérer leurs données.

    Le ransomware est un script PowerShell de 54 lignes. Lorsqu’il est exécuté, il débute son infection en supprimant les clichés instantanés ou shadow copies des lecteurs, qui sont utilisés pour restaurer des fichiers. L’objectif est donc d’empêcher les victimes de les utiliser pour tenter une quelconque restauration. Il a ensuite recours à une commande PowerShell qu’il manipule pour obtenir la liste de lecteurs qui sont en écriture. Dans chacun de ces lecteurs, il va maintenant rechercher les fichiers de données ayant une certaine extension présente dans une longue liste prédéfinie. Les fichiers repérés sont ensuite chiffrés en utilisant une clé de chiffrement AES générée aléatoirement.

    L’impossibilité de restaurer les données des victimes après le paiement de la rançon résulte d’une mauvaise programmation à cette étape. En effet, « le développeur avait prévu l’utilisation d’une clé AES statique pour l’ensemble de ses victimes », explique BleepingComputer. « Puisque tout le monde aurait la même clé de déchiffrement, cela permettrait au développeur d’avoir un déchiffreur qui pourrait fonctionner pour tout le monde plutôt que d’avoir à gérer un site de paiement complexe et un moteur de déchiffrement ». Lors de l’exécution du programme, un petit caractère ‘=’ manquant dans l'expression de la variable qui devrait contenir la clé AES décodée génère une clé aléatoire qui, malheureusement, n’est ni enregistrée ni transmise au développeur. La clé est donc perdue après que le script est exécuté.

    « Le problème est que la clé AES n'a pas été correctement bourrée (padding) quand elle a été convertie en une chaîne base64. Lorsque le script PowerShell a essayé de décoder cette chaîne, il a échoué, et au lieu que la variable $RgDhcxSdghWd contienne sa chaîne AES décodée, elle contenait maintenant une valeur NULL ou vide. S’il avait ajouté un caractère ‘=’ de plus à la chaîne, cela aurait fonctionné comme prévu et tout le monde aurait eu la même clé AES », explique BleepingComputer.


    Avec la valeur NULL, la tentative pour le développeur d’initialiser le moteur de chiffrement AES génère plutôt une clé aléatoire pour chaque victime, qu’il est en plus impossible de récupérer. Ce qui signifie qu’il n’y a rien qui puisse être fait pour que les victimes récupèrent leurs données, excepté une restauration à partir d’une sauvegarde, dans le meilleur des cas. Un simple test de l’infection aurait pu permettre de détecter cette faille, estime BleepingComputer.

    Source : BleepingComputer

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi

    Forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif
    Déjà qu'il faut être un sacré co***** pour adopter ce genre de pratiques, si en plus c'est fait par des incompétents...
    C'est décidément gonflant de vivre dans un monde où traine toujours ce genre de pourritures prêtes à tout pour se faire de l'argent.

  3. #3
    Membre extrêmement actif
    haha il fallait s'en douter.
    Essayant de créer un petit outil d'encryption, on peut vite perdre les clés
    Si la réponse vous a aidé, pensez à cliquer sur +1

  4. #4
    Membre confirmé
    Du coup, on peut réclamer le remboursement ou pas ?

  5. #5
    Membre éclairé
    Je vois bien l'escroc rembourser ses victimes en s'excusant
    La FAQ référencement c'est les 100 réponses aux 100 questions les plus fréquentes en référencement naturel. Ni plus ni moins.

  6. #6
    Membre chevronné
    En même temps, ce n'était qu'une question de temps avant qu'un truc comme ça ne se produise. Cette partie du ransomware n'est pas la plus importante pour les criminels, si on y pense.
    J'appelle "Point Traroth" le moment dans une discussion où quelqu'un parle des Bisounours. A partir de ce moment, toute discussion sérieuse devient impossible, puisque la légitimité d'une des parties pour exposer son point de vue est mise en cause. C'est juste un anathème, un moyen de décrédibiliser les autres sans avoir à discuter.

  7. #7
    Membre extrêmement actif
    Citation Envoyé par Traroth2 Voir le message
    Cette partie du ransomware n'est pas la plus importante pour les criminels, si on y pense.
    Si cette partie est importante, pour fidéliser le client

    Si le déchiffrement marche après paiement, l'utilisateur peu prudent va peut être se faire infecté une seconde fois, et repayer (sachant que ça marche).

  8. #8
    Expert éminent sénior
    Citation Envoyé par Michael Guilloux Voir le message
    [...] En effet, si le ransomware a la réputation de ne pas restaurer les données des victimes après le paiement de la rançon, cela garantit qu’aucun utilisateur ne va payer cette somme s’il sait qu’il ne pourra pas récupérer ses données. [...]
    Et comment qu'ils vont faire, maintenant, les auteurs de ransonwares, pour faire payer leurs otages ? De la pub vantant les qualités de restauration de leurs produits, comme une vulgaire lessive ou un shampoing ?
    ah lala, on vit une époque...
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  9. #9
    MikeRowSoft
    Invité(e)
    Beaucoup trop d'avis pour les commenter. Cependant je suis d'accord avec tous ceux cité précédemment.

    Sa me fait penser à SONY, Nintendo, Microsoft, APPLE et bien d'autres qui fermeraient boutique sans garantir que se qui a été achetés est passé du support logiciel sur support soit disant réputer inviolable vers du support logiciel sur du matériel très populaire entre les mains des owners...

  10. #10
    Membre émérite
    Citation Envoyé par Jipété Voir le message
    Et comment qu'ils vont faire, maintenant, les auteurs de ransonwares, pour faire payer leurs otages ? De la pub vantant les qualités de restauration de leurs produits, comme une vulgaire lessive ou un shampoing ?
    ah lala, on vit une époque...
    Ou une version d'essai : le ransonware propose de restaurer un fichier et un seul

  11. #11
    Membre actif
    Faut pas être futé non plus pour exécuter un script PowerShell qui demande obligatoirement une élévation Admin pour certaines commandes et si ce script est exécuté à distance (par un programme par exemple) c'est également refusé par défaut ! alors pourquoi accepter d'exécuter un script super louche ?

  12. #12
    Membre extrêmement actif
    Citation Envoyé par Dasoft Voir le message
    Faut pas être futé non plus pour exécuter un script PowerShell qui demande obligatoirement une élévation Admin pour certaines commandes et si ce script est exécuté à distance (par un programme par exemple) c'est également refusé par défaut ! alors pourquoi accepter d'exécuter un script super louche ?
    L'utilisateur courant ne connait pas bien la différence utilisateur/admin. Il voit un popup, il clique ok/oui.

    C'est comme ça que les virus se propagent depuis toujours, et ça continuera. Exemple très récent, Dridex, qui se diffuse via un fichier Word contenant une macro malveillante. Or en 2015 les éditeurs types Word ont appris de leurs erreurs et les macros sont bloquées par défaut. Sauf que le fichier contient tout un mélange de caractère incompréhensible, et il y a juste au début un message d'avertissement disant "Problème d'encodage : pour pouvoir visualiser le document, veuillez activer les macros".
    Selon toi, que fait l'utilisateur courant?

  13. #13
    Membre régulier
    @Dasoft, ca va très vite, imagine que tu installe un programme (winrar par exemple), tu as le setup.exe qu'il faut lancer avec privilege admin pour l'installer.

    Imagine maintenant que le setup est été modifié pour pouvoir lancer le script louche avant de lancer le réel installeur.

    D'un point de vue utilisateur il installe simplement le logiciel qu'il voulait et les modifications systeme ne sont pas visible, c'est rare d'avoir un virus qui s'installe en cliquant sur JEVAISDETRUIRETAMACHINE.exe

  14. #14
    Membre expérimenté
    Bonjour Dasoft : "Pour voler un sac il faut avoir accès au sac, il faut vraiment être trop bête pour confier son sac au voleur." As tu d'autres réflexion aussi intelligentes?

    Franchement se faire avoir peut arriver a tout le monde. C'est sûr, plus facilement a celui qui fait moins attention. Mais on est pas toujours parano et alors oui ça peut arriver.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  15. #15
    Membre expérimenté
    Citation Envoyé par ocalik Voir le message
    @Dasoft, ca va très vite, imagine que tu installe un programme (winrar par exemple), tu as le setup.exe qu'il faut lancer avec privilege admin pour l'installer.

    Imagine maintenant que le setup est été modifié pour pouvoir lancer le script louche avant de lancer le réel installeur.

    D'un point de vue utilisateur il installe simplement le logiciel qu'il voulait et les modifications systeme ne sont pas visible, c'est rare d'avoir un virus qui s'installe en cliquant sur JEVAISDETRUIRETAMACHINE.exe
    Mais même pas, il suffit d'aller sur un site infecter. Par exemple tu va sur developpez.com qui se jour là est infecté. Il utilise une faille javascript ou flash, pour un peu que ton navigateur/plugin ne soit pas a jour, il est sur ton PC. Ensuite une simple popup "Acceptez vous de mettre a jour Flash?" tu dis oui sans te rendre compte que ce n'est pas dans la barre de notification. Ou pire il peux utiliser une autre faille système si par exemple ton PC tourne sous Windows XP...
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  16. #16
    Membre averti
    Je ne voit pas en quoi le voleur se doit de décrypter les données de sa victime. Le voleur a eu ses sous, la victime a eu son "espoir" de retrouver ses fichiers à nouveau.

  17. #17
    Membre extrêmement actif
    Citation Envoyé par benjani13 Voir le message
    Si cette partie est importante, pour fidéliser le client

    Si le déchiffrement marche après paiement, l'utilisateur peu prudent va peut être se faire infecté une seconde fois, et repayer (sachant que ça marche).
    Un abonnement premium
    Si la réponse vous a aidé, pensez à cliquer sur +1

  18. #18
    Membre actif
    Il est vrai qu'ils auraient put le détecter en faisant un test dans une machne virtuelle par exemple, mais bon es-ce une bonne idée ? Il manquerait plus que la VM ai accès en écriture à un dossier partagé ( ou même mieux la racine du lecteur de l'ordinateur hôte) et encrypte ce dernier, l'arroseur arrosé en quelque sorte.

  19. #19
    Rédacteur/Modérateur

    Citation Envoyé par Grimly Voir le message
    Je ne voit pas en quoi le voleur se doit de décrypter les données de sa victime. Le voleur a eu ses sous, la victime a eu son "espoir" de retrouver ses fichiers à nouveau.
    Parce que si ça se sait, les gens ne paieront plus, puisqu'ils sauront que ça ne leur permettra pas de récupérer leurs fichiers.

  20. #20
    Membre actif
    On aide les escrocs maintenant ? Ne valait-il pas mieux laisser ce ransomware buggé, et réduire la durée de vie de celui-ci ?

    - Victimes : "il ne marche pas, donc on ne paie pas"
    - Escroc(s) : "Et zut, c'est mort !"

    Le seul intérêt est d'analyser le code (et de voir les bugs en passant) pour mieux contrer ce genre de menace, c'est mieux que de corriger le code d'un ransomware en pensant aider les futurs victimes...

###raw>template_hook.ano_emploi###