Nombre total de pages vues

jeudi 10 mars 2016

Comprendre Cryptolocker et ses clones


Source du présent article sur le blog de BlindHelp::
Comprendre Cryptolocker et ses clones Posté par
Korben le jeudi 26 mars 2015

Pour des autres articles consulter la page de:
Korben

Cryptolocker et ses dérivés comme CryptoWall, TorrentLocker, Synolocker ou CTB-Locker sont des chevaux de Troie d'un nouveau genre, qui prennent en otage
les fichiers de la victime en les chiffrant.

Je vous ai concocté un petit dossier sur Cryptolocker et ses dérivés, et j'y ai ajouté une série d'outils pour éliminer le malware et récupérer vos données.
J'espère que ça vous plaira.

voir la source:
Korben-Dossier-image Pour les DV s'abstenir de visiter cette page!

CryptoLocker et ses dérivés comme CryptoWall, TorrentLocker, Synolocker, CTB-Locker sont des chevaux de Troie destinés à extorquer les gens.
Ils répondent à un serveur maître comme le font les botnets et chiffrent les documents personnels de l’utilisateur afin de lui réclamer ensuite une
rançon pour les déchiffrer.

Dès que le chiffrement est terminé et que les fichiers sont devenus inaccessibles, Cryptolocker ou ses variantes affichent un message comme celui
que vous pouvez voir ci-dessus, réclamant un versement (via carte prépayée ou Bitcoin) d’environ 500 $ pour fournir la clé de déchiffrement à la victime.
Et pour corser le tout, et mettre la pression sur la victime, il y a parfois un délai à respecter (en général, c'est 72h) sans quoi, la clé de déchiffrement
sera à tout jamais effacée du serveur (ou alors ça coutera encore plus cher).
Pour gagner un peu de temps, vous pouvez aussi changer la date dans votre BIOS, histoire de tromper le cheval de Troie.

Le Cryptolocker d’origine n’est plus en circulation grâce à une opération policière baptisée « Opération Tovar", mais il existe de nombreux ransomware
similaires plus récents comme CTB-Locker, Synolocker, ou ce nouveau clone de Cryptolocker qui chiffre vos jeux vidéos.

Cryptolocker prend en otage vos données personnelles
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb,
*.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw,
*.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f,
*.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Qui se cache derrière Cryptolocker ?

Conférence de presse tenue en juin 2014 par James Cole, le Procureur Général du Département de la Justice Américain au sujet de M. Bogachev. Et bien si on en croit le FBI, l’administrateur principal serait Evgeniy Mikhailovich Bogachev, un russe de 31 ans qui aurait à lui seul, extorqué
à ses victimes plus de 100 millions de dollars.
Se faisant appeler sur les réseaux « lucky12345 », « Monstr », « Slavik » ou encore « Pollingsoon », Evgeniy était aussi un des administrateurs du botnet
Gameover ZeuS qui avant d’être démantelé, comptait plus de 500 000 machines. L’homme qui possède plusieurs propriétés et un yacht serait toujours en Russie
et une récompense de 3 millions de dollars est offerte à quiconque aidera à sa capture.

Il suffit pour cela d’être vigilant. Vérifiez bien les expéditeurs des emails que vous recevez, n’ouvrez pas de pièces jointes sans être certain
qu’elles sont légitimes, et affichez les extensions de fichier dans l’explorateur de fichiers pour repérer les .zip.exe ou les .pdf.exe.
Faites aussi attention quand vous téléchargez des logiciels, des cracks, des keygens, de la musique ou des films sur des sites pirates, utilisez un
antivirus à jour et surtout, SURTOUT faites des sauvegardes de
vos fichiers (en n’oubliant pas de déconnecter le support qui les accueille de votre ordinateur, sinon celles-ci seront aussi chiffrées par Cryptolocker).
A titre préventif, vous pouvez aussi désactiver le support de RDP sur votre machine, qui est utilisé par les ransomwares comme Cryptolocker ou installez
un outil comme Cryptoprevent qui modifiera légèrement la configuration de votre ordinateur pour empêcher tout infection par un FileLocker.

Le plus simple pour savoir si vous êtes infecté, c’est de passer un petit coup d’antivirus :
Smart Security d’ESET MalwareBytes Power Eraser de Symantec feront très bien l’affaire. Mais pour vérifier par vous même, il suffit d’ouvrir la base de registre et de vérifier la présence des clés suivantes :
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "CryptoLocker"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce "*CryptoLocker"
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "CryptoLocker_<version_number>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce "*CryptoLocker_<version_number>"

Pensez à faire régulièrement vos sauvegardes.

Et n’oubliez pas, la meilleure protection antivirus reste votre cerveau !

Ne paniquez pas ! Mais soyez rapide.

CRYPTOLOCKER
La chose à ne surtout pas faire : Payer !
Il ne faut pas payer une rançon, car envoyer de l’argent à des cyber criminels, ce n’est jamais bon. De plus, dans certains cas, la clé de déchiffrement
envoyée n’est pas la bonne ou ne fonctionne pas correctement et vous aurez tout simplement perdu de l’argent. Ensuite, comme le chiffrement prend du temps,
si vous vous rendez compte que Cryptolocker est à l’oeuvre sur votre machine, dépêchez-vous de le stopper en débranchant le câble Ethernet ou la connexion
Wifi et en le désinstallant de votre machine avec des outils de désinfection comme ceux mentionnés plus haut. Si vous agissez vite, vous aurez aussi peut-être
la chance que vos fichiers ne soient pas tous chiffrés.

Une fois Cryptolocker ou son clone désinstallé de votre machine, sachez qu’il est possible aussi de trouver les documents chiffrés présents sur
votre disque dur. Pour cela, je vous recommande 2 outils simples à utiliser :
ListCriLock CryptoLocker Scan Tool

Source Comprendre Cryptolocker et ses clones

Un cheval de Troie spécialisé dans l’extorsion
Zeus est un cheval de Troie destiné à voler des informations bancaires par récupération de formulaire, keylogger et attaques en man-in-the-browser.
Le virus se transmet par simple visite sur un site infecté et par phishing. Identifié pour la première fois en juillet 2007 alors qu'il est utilisé pour
voler des informations au Département des Transports des États-Unis, il devient très répandu en mars 2009. En juin 2009, la société de sécurité informatique
Prevx découvre que Zeus a compromis au moins 74 000 comptes FTP sur des sites de grandes compagnies, incluant Bank of America, NASA, Monster.com, ABC,
Oracle, Play.com, Cisco, Amazon, and BusinessWeek.

Pour se propager, Cryptlocker et ses variantes utilisent majoritairement les emails.
Ils s’attachent en pièce jointe et s’envoient à tous vos contacts. Dans certains cas, si votre machine est déjà infectée par un botnet de type Gameover
ZeuS, Cryptolocker peut aussi entrer par là ou alors se diffuser via téléchargement sur des sites piratés.
Quand une personne lance Cryptolocker ou un de ses clones sur un ordinateur Windows, celui-ci s’installe dans le répertoire utilisateur, puis ajoute
les clés qui vont bien dans la base de registre pour assurer son lancement à chaque démarrage de la machine.

Il essaye ensuite d’établir une connexion avec un serveur maître comme le ferait n’importe quel botnet. Dès que la connexion est établie, le serveur
génère une paire de clés de chiffrement RSA de minimum 2048 bits et envoie sa clé publique à l’ordinateur infecté. 
C’est avec cette clé que Cryptolocker commence à chiffrer les fichiers se trouvant en local sur le disque dur de la machine, mais aussi sur les disques
réseau partagés.
Par souci d’économie de temps, il se concentre uniquement sur les documents bureautiques (.doc, .xls, .odf…etc), les photos, la musique, les vidéos…etc. Bref, tout ce qui peut avoir une valeur personnelle.
Enfin, il existe aussi des solutions pour déchiffrer vos documents. Suite à des opérations de reverse engeenering menées par les éditeurs d’antivirus,
plusieurs outils de déchiffrement sont disponibles gratuitement. Vous pouvez donc tenter votre chance avec les outils :
DecryptCryptolocker CryptoUnlocker (script Python)

Et sur mobile ?

Et bien, pas de chance, puisque sur nos smartphones, des variantes existent aussi comme Simplocker. Ce ransomware à destination des téléphones
sous Android, scanne la carte mémoire de l’appareil à la recherche de certains fichiers (jpg, png, doc, pdf, txt, avi, mp4…etc) et les chiffres avant de
demander une rançon d’environ 16 €. Heureusement, la société ESET a mis en ligne un outil baptisé Simplocker Decryptor pour vous permettre de récupérer
vos fichiers. 

Lien externes à consulter:

Vous pouvez lire cet article complet, il y a aussi des autres outils à télécharger afin de supprimer Cryptolocker !
Supprimer Cryptolocker - Comment Supprimer ? Et voici un peut d'histoire sur
Cryptolocker!

Aucun commentaire :

Enregistrer un commentaire

Vous pouvez laisser votre commentaire !