CryptoDefense le ransomware domine les discussions ces jours-ci. Les victimes victimes de cette variante de Ransomware se sont tournées vers un grand nombre de forums, cherchant le soutien d'experts. Considéré comme un type de logiciel de ransomware, le programme simule le comportement de CryptoLocker, mais ne peut pas être considéré comme un dérivé complet de celui-ci, car le code qu’il exécute est complètement différent. De plus, les dégâts qu’elle cause sont potentiellement énormes.
CryptoDefense Ransomware
La féroce concurrence entre cyber-gangs qui a eu lieu à la fin du mois de février 2014 a permis de déterminer l'origine du scélérat Internet. Elle a conduit au développement d'une variante potentiellement néfaste de ce programme de ransomware, capable de brouiller les fichiers d'une personne et de la forcer à effectuer un paiement pour récupérer les fichiers.
CryptoDefense, comme il est connu, cible les fichiers texte, image, vidéo, PDF et MS Office. Lorsqu'un utilisateur final ouvre la pièce jointe infectée, le programme commence à chiffrer ses fichiers cible avec une clé RSA-2048 puissante qu'il est difficile d'annuler. Une fois que les fichiers sont cryptés, le malware installe des fichiers à la demande d'une rançon dans chaque dossier contenant des fichiers cryptés.
À l'ouverture des fichiers, la victime trouve une page CAPTCHA. Si les fichiers sont trop importants pour lui et qu'il veut les récupérer, il accepte le compromis. Pour aller plus loin, il doit remplir correctement le CAPTCHA et les données sont envoyées à la page de paiement. Le prix de la rançon est prédéterminé, doublé si la victime ne respecte pas les instructions du développeur dans un délai défini de quatre jours.
La clé privée nécessaire pour déchiffrer le contenu est disponible avec le développeur du logiciel malveillant et est renvoyée au serveur de l'attaquant uniquement lorsque le montant souhaité est livré intégralement sous forme de rançon. Les attaquants semblent avoir créé un site Web «caché» pour recevoir des paiements. Une fois que le serveur distant a confirmé le destinataire de la clé de déchiffrement privée, une capture d'écran du bureau compromis est téléchargée sur l'emplacement distant. CryptoDefense vous permet de payer la rançon en envoyant des Bitcoins à une adresse indiquée dans la page Service de décryptage du logiciel malveillant.
Bien que tout le schéma des choses semble être bien élaboré, CryptoDefense ransomware lors de sa première apparition comportait quelques bogues. La clé se trouvait directement sur l’ordinateur de la victime! ?
Bien entendu, cela nécessite des compétences techniques qu'un utilisateur moyen pourrait ne pas posséder pour comprendre la clé. La faille a été remarquée pour la première fois par Fabian Wosar de Emsisoft et conduit à la création d'un Decrypter outil qui pourrait potentiellement récupérer la clé et décrypter vos fichiers.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
La méthode était témoin du succès et d'aider les gens, jusqu'à Symantec décidé de faire un exposé complet de la faille et de répandre les fèves via son blog. Le geste de Symantec a incité le développeur de programmes malveillants à mettre à jour CryptoDefense afin qu’il ne laisse plus la clé.
Les chercheurs de Symantec ont écrit:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
À cela, les pirates ont répondu:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
Actuellement, le seul moyen de résoudre ce problème est de vous assurer que vous disposez d'une sauvegarde récente des fichiers pouvant être restaurés. Essuyez et reconstruisez la machine à partir de zéro, puis restaurez les fichiers.
Ce post sur BleepingComputers est une excellente lecture si vous voulez en savoir plus sur ce Ransomware et lutter contre la situation d’avance. Malheureusement, les méthodes énumérées dans la «Table des matières» ne fonctionnent que pour 50% des cas d’infection. Néanmoins, il offre une bonne chance de récupérer vos fichiers.
