Discussion :

[Michael Guilloux]

Un ransomware mal programmé devient incapable de déchiffrer les données des victimes
Après le paiement de la rançon

C’est déjà pénible de payer pour récupérer ses propres données après une « prise en otage » par des logiciels malveillants connus sous le nom de ransomware. Mais, c’est encore plus désagréable de devoir payer la rançon sans aucune possibilité d’avoir accès à nouveau à ses fichiers. C’est dans cette dernière situation que de nombreuses personnes ont probablement été, avec une nouvelle variante mal programmée du ransomware Power Worm.

Les développeurs de ransomware n’ont aucun intérêt à bloquer les fichiers de leurs victimes après avoir reçu la somme demandée. En effet, si le ransomware a la réputation de ne pas restaurer les données des victimes après le paiement de la rançon, cela garantit qu’aucun utilisateur ne va payer cette somme s’il sait qu’il ne pourra pas récupérer ses données. Pour cette raison, aussi malveillants qu’ils soient, les développeurs de ransomware prennent en général le soin de débloquer les données de leurs victimes, parce qu’ils ne percevront rien tant que ces dernières sont sures de ne pas avoir à nouveau accès à leurs fichiers. L’incapacité de ce nouveau malware à déchiffrer les données des victimes semble donc être le résultat d’une mauvaise programmation de son auteur, et c’est ce que l’analyse technique semble montrer.

BleepingComputer, qui a reçu l’échantillon du demandeur de rançons, l’a fait analyser par son équipe interne de chercheurs avant d’exposer l’erreur commise par le programmeur dans son code. L’objectif est de permettre à ce développeur de corriger la faille dans son code de sorte que ses prochaines victimes aient au moins la possibilité de récupérer leurs données.

Le ransomware est un script PowerShell de 54 lignes. Lorsqu’il est exécuté, il débute son infection en supprimant les clichés instantanés ou shadow copies des lecteurs, qui sont utilisés pour restaurer des fichiers. L’objectif est donc d’empêcher les victimes de les utiliser pour tenter une quelconque restauration. Il a ensuite recours à une commande PowerShell qu’il manipule pour obtenir la liste de lecteurs qui sont en écriture. Dans chacun de ces lecteurs, il va maintenant rechercher les fichiers de données ayant une certaine extension présente dans une longue liste prédéfinie. Les fichiers repérés sont ensuite chiffrés en utilisant une clé de chiffrement AES générée aléatoirement.

L’impossibilité de restaurer les données des victimes après le paiement de la rançon résulte d’une mauvaise programmation à cette étape. En effet, « le développeur avait prévu l’utilisation d’une clé AES statique pour l’ensemble de ses victimes », explique BleepingComputer. « Puisque tout le monde aurait la même clé de déchiffrement, cela permettrait au développeur d’avoir un déchiffreur qui pourrait fonctionner pour tout le monde plutôt que d’avoir à gérer un site de paiement complexe et un moteur de déchiffrement ». Lors de l’exécution du programme, un petit caractère ‘=’ manquant dans l'expression de la variable qui devrait contenir la clé AES décodée génère une clé aléatoire qui, malheureusement, n’est ni enregistrée ni transmise au développeur. La clé est donc perdue après que le script est exécuté.

« Le problème est que la clé AES n'a pas été correctement bourrée (padding) quand elle a été convertie en une chaîne base64. Lorsque le script PowerShell a essayé de décoder cette chaîne, il a échoué, et au lieu que la variable $RgDhcxSdghWd contienne sa chaîne AES décodée, elle contenait maintenant une valeur NULL ou vide. S’il avait ajouté un caractère ‘=’ de plus à la chaîne, cela aurait fonctionné comme prévu et tout le monde aurait eu la même clé AES », explique BleepingComputer.

Avec la valeur NULL, la tentative pour le développeur d’initialiser le moteur de chiffrement AES génère plutôt une clé aléatoire pour chaque victime, qu’il est en plus impossible de récupérer. Ce qui signifie qu’il n’y a rien qui puisse être fait pour que les victimes récupèrent leurs données, excepté une restauration à partir d’une sauvegarde, dans le meilleur des cas. Un simple test de l’infection aurait pu permettre de détecter cette faille, estime BleepingComputer.

Source : BleepingComputer

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Forum Sécurité

[DarkBakura]

Déjà qu'il faut être un sacré co***** pour adopter ce genre de pratiques, si en plus c'est fait par des incompétents...
C'est décidément gonflant de vivre dans un monde où traine toujours ce genre de pourritures prêtes à tout pour se faire de l'argent.

[hotcryx]

haha il fallait s'en douter.
Essayant de créer un petit outil d'encryption, on peut vite perdre les clés

[Max Lothaire]

Du coup, on peut réclamer le remboursement ou pas ?

[aurelienbardon]

Je vois bien l'escroc rembourser ses victimes en s'excusant

[Traroth2]

En même temps, ce n'était qu'une question de temps avant qu'un truc comme ça ne se produise. Cette partie du ransomware n'est pas la plus importante pour les criminels, si on y pense.

[benjani13]

Cette partie du ransomware n'est pas la plus importante pour les criminels, si on y pense.

Si cette partie est importante, pour fidéliser le client

Si le déchiffrement marche après paiement, l'utilisateur peu prudent va peut être se faire infecté une seconde fois, et repayer (sachant que ça marche).

[Jipété]

[...] En effet, si le ransomware a la réputation de ne pas restaurer les données des victimes après le paiement de la rançon, cela garantit qu’aucun utilisateur ne va payer cette somme s’il sait qu’il ne pourra pas récupérer ses données. [...]

Et comment qu'ils vont faire, maintenant, les auteurs de ransonwares, pour faire payer leurs otages ? De la pub vantant les qualités de restauration de leurs produits, comme une vulgaire lessive ou un shampoing ?
ah lala, on vit une époque...

[MikeRowSoft]

Beaucoup trop d'avis pour les commenter. Cependant je suis d'accord avec tous ceux cité précédemment.

Sa me fait penser à SONY, Nintendo, Microsoft, APPLE et bien d'autres qui fermeraient boutique sans garantir que se qui a été achetés est passé du support logiciel sur support soit disant réputer inviolable vers du support logiciel sur du matériel très populaire entre les mains des owners...

[AoCannaille]

Et comment qu'ils vont faire, maintenant, les auteurs de ransonwares, pour faire payer leurs otages ? De la pub vantant les qualités de restauration de leurs produits, comme une vulgaire lessive ou un shampoing ?
ah lala, on vit une époque...

Ou une version d'essai : le ransonware propose de restaurer un fichier et un seul

[Dasoft]

Faut pas être futé non plus pour exécuter un script PowerShell qui demande obligatoirement une élévation Admin pour certaines commandes et si ce script est exécuté à distance (par un programme par exemple) c'est également refusé par défaut ! alors pourquoi accepter d'exécuter un script super louche ?

[benjani13]

Faut pas être futé non plus pour exécuter un script PowerShell qui demande obligatoirement une élévation Admin pour certaines commandes et si ce script est exécuté à distance (par un programme par exemple) c'est également refusé par défaut ! alors pourquoi accepter d'exécuter un script super louche ?

L'utilisateur courant ne connait pas bien la différence utilisateur/admin. Il voit un popup, il clique ok/oui.

C'est comme ça que les virus se propagent depuis toujours, et ça continuera. Exemple très récent, Dridex, qui se diffuse via un fichier Word contenant une macro malveillante. Or en 2015 les éditeurs types Word ont appris de leurs erreurs et les macros sont bloquées par défaut. Sauf que le fichier contient tout un mélange de caractère incompréhensible, et il y a juste au début un message d'avertissement disant "Problème d'encodage : pour pouvoir visualiser le document, veuillez activer les macros".
Selon toi, que fait l'utilisateur courant?

[ocalik]

@Dasoft, ca va très vite, imagine que tu installe un programme (winrar par exemple), tu as le setup.exe qu'il faut lancer avec privilege admin pour l'installer.

Imagine maintenant que le setup est été modifié pour pouvoir lancer le script louche avant de lancer le réel installeur.

D'un point de vue utilisateur il installe simplement le logiciel qu'il voulait et les modifications systeme ne sont pas visible, c'est rare d'avoir un virus qui s'installe en cliquant sur JEVAISDETRUIRETAMACHINE.exe

[abriotde]

Bonjour Dasoft : "Pour voler un sac il faut avoir accès au sac, il faut vraiment être trop bête pour confier son sac au voleur." As tu d'autres réflexion aussi intelligentes?

Franchement se faire avoir peut arriver a tout le monde. C'est sûr, plus facilement a celui qui fait moins attention. Mais on est pas toujours parano et alors oui ça peut arriver.

[abriotde]

@Dasoft, ca va très vite, imagine que tu installe un programme (winrar par exemple), tu as le setup.exe qu'il faut lancer avec privilege admin pour l'installer.

Imagine maintenant que le setup est été modifié pour pouvoir lancer le script louche avant de lancer le réel installeur.

D'un point de vue utilisateur il installe simplement le logiciel qu'il voulait et les modifications systeme ne sont pas visible, c'est rare d'avoir un virus qui s'installe en cliquant sur JEVAISDETRUIRETAMACHINE.exe

Mais même pas, il suffit d'aller sur un site infecter. Par exemple tu va sur developpez.com qui se jour là est infecté. Il utilise une faille javascript ou flash, pour un peu que ton navigateur/plugin ne soit pas a jour, il est sur ton PC. Ensuite une simple popup "Acceptez vous de mettre a jour Flash?" tu dis oui sans te rendre compte que ce n'est pas dans la barre de notification. Ou pire il peux utiliser une autre faille système si par exemple ton PC tourne sous Windows XP...

[Grimly]

Je ne voit pas en quoi le voleur se doit de décrypter les données de sa victime. Le voleur a eu ses sous, la victime a eu son "espoir" de retrouver ses fichiers à nouveau.

[hotcryx]

Si cette partie est importante, pour fidéliser le client

Si le déchiffrement marche après paiement, l'utilisateur peu prudent va peut être se faire infecté une seconde fois, et repayer (sachant que ça marche).

Un abonnement premium

[monwarez]

Il est vrai qu'ils auraient put le détecter en faisant un test dans une machne virtuelle par exemple, mais bon es-ce une bonne idée ? Il manquerait plus que la VM ai accès en écriture à un dossier partagé ( ou même mieux la racine du lecteur de l'ordinateur hôte) et encrypte ce dernier, l'arroseur arrosé en quelque sorte.

[tomlev]

Je ne voit pas en quoi le voleur se doit de décrypter les données de sa victime. Le voleur a eu ses sous, la victime a eu son "espoir" de retrouver ses fichiers à nouveau.

Parce que si ça se sait, les gens ne paieront plus, puisqu'ils sauront que ça ne leur permettra pas de récupérer leurs fichiers.

[MadScratchy]

On aide les escrocs maintenant ? Ne valait-il pas mieux laisser ce ransomware buggé, et réduire la durée de vie de celui-ci ?

- Victimes : "il ne marche pas, donc on ne paie pas"
- Escroc(s) : "Et zut, c'est mort !"

Le seul intérêt est d'analyser le code (et de voir les bugs en passant) pour mieux contrer ce genre de menace, c'est mieux que de corriger le code d'un ransomware en pensant aider les futurs victimes...