IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Satana : un ransomware qui empêche le démarrage de Windows


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 701
    Points : 51 791
    Points
    51 791
    Par défaut Satana : un ransomware qui empêche le démarrage de Windows
    Satana, le ransomware qui empêche le démarrage de Windows
    serait particulièrement plus complexe que ses prédécesseurs

    Ces derniers temps, l'évolution des ransomwares a souvent fait l'actualité de la presse spécialisée. Depuis la fin 2015 jusqu’en début d’année 2016, les attaques aux ransomwares ont fait plusieurs victimes parmi lesquelles figurent des hôpitaux, des systèmes de traitement d’eau pour ne citer que ceux-là. Le ransomware peut prendre en otage des données personnelles en les chiffrant puis en demandant à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Il peut également bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent.

    Et c’est justement ce que fait une nouvelle génération de ransomwares découverte par Malewarebytes ces dernières semaines. Elle combine le chiffrement de fichiers et écriture de code sur le secteur d’amorçage du disque, le MBR, pour mettre à mal les fichiers de ses victimes. « Satana fonctionne en deux modes, note la société de sécurité sur son blog. Le premier se comporte comme Petya, un fichier exécutable (sous Windows, NDLR) [et] écrit au début du disque infecté un module de bas niveau, un bootloader avec un noyau personnalisé. Le deuxième mode se comporte comme un ransomware typique et chiffre les fichiers un par un (tout comme Mischa). »

    Nom : rsz_capture_4.jpg
Affichages : 5287
Taille : 16,7 Ko

    Bien que fonctionnel, Satana (Satan en italien et roumain) est encore en développement selon les chercheurs de Malwarebytes. Il a été inspiré d’autres ransomwares précédents, ainsi il est le deuxième ransomware après Petya qui affecte le Master Boot Record (MBR), empêchant les machines Windows de démarrer. Le Master Boot Record est le nom donné au premier secteur adressable d'un disque dur dans le cadre d'un partitionnement Intel. Sa taille est de 512 octets. Le MBR contient la table des partitions du disque dur. Il contient également une routine d'amorçage dont le but est de charger le système d'exploitation, ou le chargeur d'amorçage (boot loader) s'il existe, présent sur la partition active. Sans MBR, les machines ne savent pas sur quelle partition se trouve le système d’exploitation à charger et de ce fait, elles sont incapables de démarrer.

    Petya a été le premier ransomware à changer le Master Boot Record (MBR) pour lancer un bootloader custom qui se charge de chiffrer la Master File Table (MFT). Le but étant d’empêcher le système d'exploitation de démarrer tant qu'il n'a pas été réparé. La MFT est l'un des composants du système de fichiers de NTFS de Microsoft. Il contient la liste de tous les fichiers stockés sur le disque. Satana suit une autre route, il ne recourt pas au chiffrement du MFT, mais remplace le MBR avec son propre code et enregistre une copie chiffrée pour la restaurer lorsque la victime paye la rançon aux pirates. Cette manœuvre laisse la machine dans l’incapacité de booter, mais elle peut être réparée plus facilement que si le MFT a été chiffré.

    Durant mai dernier, Petya a été combiné à un ransomware différent au nom de Mischa, qui est beaucoup plus traditionnel. Il s’attaque aux données des utilisateurs et les fait chiffrer directement s’il n’arrive pas à obtenir des droits d’administrateur pour attaquer le MBR et le MFT. Satana combine les deux méthodes, une fois le MBR remplacé, il s’attaque au chiffrement des fichiers sur le disque et attend patiemment le redémarrage du système. Une fois fait, il affiche à l’utilisateur les directives à suivre pour récupérer l’accès à son PC, à savoir le paiement d’une rançon de 0,5 bitcoin (environ 340 dollars).

    Même si l’utilisateur arrive à réparer le MBR à l’aide des options de restauration de Windows, qui nécessitent des manipulations avec l’invite de commandes et le fichier bootrec.exe (ce qui est loin d’être à la portée de tout le monde). Même en arrivant à cela, l’utilisateur se trouvera face à des fichiers chiffrés sur le disque. Les méthodes de chiffrement employées par le ransomware semblent assez robustes pour rendre les fichiers piégés définitivement irrécupérables. Les chercheurs de Malwarebytes ont remarqué un bogue particulièrement gênant, qui pourrait entraîner la perte des données à jamais, même en cas de paiement de la rançon. En effet, durant le processus de chiffrement/déchiffrement des fichiers, toute déconnexion du serveur de commandes et contrôle (C&C) entraîne la perte de la clé de déchiffrement. « Même les victimes qui paient peuvent ne pas récupérer leurs fichiers si elles (ou le C&C) sont hors ligne lorsque le chiffrement arrive », prévient la société de sécurité.

    La version actuelle de Satana est loin d’être parfaite et de ce fait elle n’est pas largement répandue. Cependant, les chercheurs estiment qu'elle va servir de base pour l’introduction d’améliorations qui aideront à rendre le ransomware beaucoup plus performant. « Le code d’attaque de bas niveau semble inachevé – mais les auteurs montrent un intérêt dans le développement du produit dans ce sens et nous pouvons nous attendre à ce que la prochaine version soit améliorée », écrit le chercheur.




    Source : Malwarebytes

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Les ransomwares continuent d'évoluer : Cerber se dote d'une fonctionnalité, pour créer des versions différentes de lui-même toutes les 15 secondes
    EduCrypt : un ransomware qui apprend une leçon sur la sécurité informatique et fournit une clé de déchiffrement sans demander de rançon
    Microsoft lance l'alerte sur une nouvelle variante de ransomware baptisée Zcryptor dotée d'une capacité d'autopropagation
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    583
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 583
    Points : 1 610
    Points
    1 610
    Par défaut
    Si je suis infecté je répondrais : "désolé mais je n'ai pas pour habitude de payer pour des logiciels en cours de développement"
    L'article de Malwarebytes est super intéressant btw.
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  3. #3
    Membre averti
    Profil pro
    Développeur .NET
    Inscrit en
    octobre 2010
    Messages
    78
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : octobre 2010
    Messages : 78
    Points : 367
    Points
    367
    Par défaut
    Les chercheurs de Malwarebytes ont remarqué un bug particulièrement gênant, qui pourrait entraîner la perte des données à jamais, même en cas de paiement de la rançon.
    C'est une véritable honte! Qu'est-ce qu'ils attendent pour faire une mise à jour!? Si au moins c'était open source... En tout cas, je ne le téléchargerai pas sur mon poste tant que cela ne sera pas réglé!

    A bon entendeur, salut!

  4. #4
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    583
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 583
    Points : 1 610
    Points
    1 610
    Par défaut
    Citation Envoyé par Omote Voir le message
    C'est une véritable honte! Qu'est-ce qu'ils attendent pour faire une mise à jour!? Si au moins c'était open source... En tout cas, je ne le téléchargerai pas sur mon poste tant que cela ne sera pas réglé!

    A bon entendeur, salut!
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  5. #5
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    14 862
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 14 862
    Points : 34 579
    Points
    34 579
    Par défaut
    Rassurez-vous, le secureboot empêchera cela .

    Bien évidemment non.

    Plus sérieusement, l'article parle de MBR ce qui signifie l'utilisation de UEFI et non pas de BIOS (à moins de boot en legacy).

    Il y a une solution efficace à ce problème : les sauvegardes, et offline (pas accessible via le réseau par exemple).
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  6. #6
    Membre du Club
    Inscrit en
    septembre 2012
    Messages
    37
    Détails du profil
    Informations forums :
    Inscription : septembre 2012
    Messages : 37
    Points : 62
    Points
    62
    Par défaut Offline
    Bonjour a tous .
    Oui effectivement, le offline et la sauvegarde sont tres efficaces voir meme postes separes:
    un pour local reseau et l'autre pour internet .
    La ou je travail c'est comme cela mais evidement cela demande beaucoup d'argent donc accessible en general aux grosses societes.
    Alors je pense qu'au lieu de faire appel a des chercheurs apres l'attaque (pour savoir quoi chercher),peut etre serait il mieux avant et donc faire appel a des chercheurs ingenieurs dotes d'un savoir imaginatif plutot que sequentiel.
    Eux ,satana ,on fait appel a ces personnes extremement fortes en archithecture et prog bas niveau pour y parvenir mais du mauvais cote

  7. #7
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    14 862
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 14 862
    Points : 34 579
    Points
    34 579
    Par défaut
    La ou je travail c'est comme cela mais evidement cela demande beaucoup d'argent donc accessible en general aux grosses societes.
    Pas forcément, tu alternes une sauvegarde locale sur plusieurs disques à quelques jours d’intervalle. Facile et peu couteux.

    on fait appel a ces personnes extremement fortes en archithecture et prog bas niveau pour y parvenir mais du mauvais cote
    corrompre le MBR, ça existait déjà il y a des années. Mon projet d'examen d'il y a 20 ans a été la réalisation d'une carte antivirus qui copiait les premiers secteurs du disque sur une carte branchée sur le port parallèle, détournement de l'int 0x13 à l'époque.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  8. #8
    Candidat au Club
    Homme Profil pro
    Consultant en technologies
    Inscrit en
    mai 2016
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Consultant en technologies

    Informations forums :
    Inscription : mai 2016
    Messages : 2
    Points : 3
    Points
    3
    Par défaut
    TrendMicro outil publié qui peut décrypter V1 Cerber Ransomware (http://esupport.trendmicro.com/solut...s/1114221.aspx). Vous pouvez également utiliser ShadowExplorer et ce guide

Discussions similaires

  1. boucle qui liste les fichiers
    Par koKoTis dans le forum VBScript
    Réponses: 7
    Dernier message: 23/01/2008, 17h08
  2. Réponses: 1
    Dernier message: 04/10/2007, 00h46
  3. besoin d'une API qui exploite les fichier Word
    Par fafa624 dans le forum Documents
    Réponses: 1
    Dernier message: 16/12/2006, 18h01
  4. Réponses: 1
    Dernier message: 22/08/2006, 04h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo