CrYptolocker

//CrYptolocker

CrYptolocker

Par | 2015-02-04T15:35:47+02:00 février 4th, 2015|Actualité|

Qu’est-ce qu’un ransomware ?

Les ransomwares (ou rançongiciel) vous empêchent d’utiliser votre ordinateur en « prenant vos fichiers en otage ». En effet, ces malwares détiennent vos données (en empêchant leur accès) et vous demandent une rançon afin de pouvoir les récupérer. Cryptolocker en est un exemple.

A quoi ressemble un ransomware ?

Certaines versions de ransomwares utilisent des logos officiels pour se faire passer pour les Autorités : Police Nationale, Gendarmerie Nationale, ANSSI, Interpol, FBI, etc. Un message indique que quelque chose d’illégal a été détecté, et l’ordinateur de la victime est alors bloqué. La victime est condamnée à payer une amende imaginaire pour débloquer son ordinateur.
Un autre type de ransomware, relativement similaire, chiffre les données de l’ordinateur victime et oblige l’utilisateur à payer une rançon afin d’obtenir la clé de déchiffrement et ainsi récupérer ses données.

Exemple : cas concret d’une infection Cryptolocker

Apparu en septembre 2013, Cryptolocker est un ransomware particulièrement agressif dans la mesure où les utilisateurs infectés risquent de perdre toutes leurs données. Récemment, une grande entreprise française a été la victime de ce malware.

Décembre 2014 : de nombreux appels sont reçus au service informatique à propos d’un virus qui chiffre les documents. Il apparait très vite que l’entreprise est victime d’une attaque Cryptolocker.

Vecteurs de propagation

La propagation constatée repose sur une campagne de phishing (hammeçonnage). Les victimes ont reçu un e-mail ressemblant fortement à ceux d’une banque ou d’une compagnie d’assurance, les invitant à cliquer sur un lien (bien évidemment malveillant).

Un exemple de message frauduleux :

De: nicolettisales@meccanicanicoletti.it
Objet: Documentazione
Nous vous informons que vous avez un paiement en attente.
Nombre de paiement: 2438762495
Les raisons et les details peuvent etre trouves a l’adresse:
http :www.papercut-design.com/Details.zip/RUnwKYtaG=XXXXX…..
Juste etre averti si ce ne effectuer le paiement, notre entreprise
sera obligee d’arreter la fourniture de produits.
Dans le cas de non-paiement, nous serons obliges de demander une indemnisation.

Sincerement
Lucianna
Tel./Fax.: 04-91-63-05-34.

Description du fonctionnement de l’attaque virale

  • Non détecté par les systèmes antispam de l’entreprise, l’e-mail arrive dans les boites aux lettres des utilisateurs.
  • Mal ou peu sensibilisés, certains utilisateurs cliquent sur le lien. Les URLs utilisées ne sont alors pas identifiées comme malveillantes.
  • Un fichier ZIP est alors téléchargé depuis divers serveurs, sans être détecté par l’antivirus.
  • Le fichier ZIP contient le malware. Afin de masquer l’exécutable malveillant téléchargé, le fichier malicieux peut prendre la forme d’un PDF (avec l’icône associée), ou d’un fichier dont le nom excède 62 caractères (masquant ainsi l’extension).
  • L’utilisateur ouvre le fichier et le virus s’exécute.
  • Le virus s’installe sur le poste, sans être détecté par l’antivirus. Pour rappel, un antivirus fonctionne sur la notion de blacklist, et ne protège uniquement contre ce qu’il connait.
  • – Une clé AES 256 bits est générée (chiffrement symétrique) : Cryptolocker utilise cette clé pour chiffrer les fichiers présents sur le poste (disques durs, clés USB), et ceux accessibles via les partages sur les lecteurs réseaux montés sur le poste compromis. Le virus ne chiffre pas les fichiers de manière exhaustive mais cible toutefois une grande variété d’entre eux (+ de 60 types de fichiers, dont .doc, .xls, .ppt, .jpg, etc…)
    – Cette clé est immédiatement chiffrée avec la clé publique du pirate contenue dans l’exécutable malveillant.
    – Une communication avec un serveur C&C a alors lieu (nom de domaine aléatoire) : la clé de chiffrement (elle-même chiffrée !) est alors transmise à l’auteur du malware.

  • Le seul moyen de récupérer la clé de déchiffrement est d’obtenir la clé privée associée à la clé publique. Cette clé est connue du pirate seulement et n’est jamais transmise ni sur le réseau ni sur la machine infectée.
  • Une fenêtre apparaît à l’écran invitant l’utilisateur à payer une rançon en échange de cette clé.

criptolocker

Actions entreprises pour limiter la propagation et éradiquer le virus

Dès la détection de machines compromises, les équipes Sécurité de l’entreprise ont mené les actions suivantes :

  • Analyse des logs antivirus et proxy afin de repérer la menace et récupérer le fichier ZIP malicieux téléchargé
  • Soumission de la souche virale aux éditeurs antivirus afin de recevoir au plus vite une mise à jour corrigeant la menace
  • Blocage des URLs des serveurs C&C
  • Blocage du téléchargement des fichiers ZIP à partir d’internet (temporaire)
  • Codage d’une règle de protection à l’accès empêchant la création de .exe sur les postes utilisateurs et serveurs dans les répertoires où s’installe Cryptolocker (AppData, Application Data…)
  • Mise en place d’une règle de surveillance à la création d’un fichier .encrypted sur tous les postes de travail (afin de détecter au plus vite les nouvelles victimes)
  • Déploiement des mises à jour antivirales spécifiques à cette attaque

A noter que l’ensemble de ces mesures a été mis en œuvre en à peine quelques heures. Une fois la crise virale endiguée, le comité de pilotage Sécurité de l’entreprise a mis en place un certain nombre de mesures pour empêcher qu’un phénomène similaire ne se reproduise.

Solutions préventives

La mesure la plus significative était l’information et la sensibilisation des utilisateurs aux risques associés aux messages électroniques.
On ne le répétera jamais assez, la principale mesure préventive reste côté utilisateur ! Ce cas d’infection particulier aurait pu aisément être évité si les utilisateurs avaient suivi ces consignes de sécurités élémentaires, mais fondamentales :

  • Ne jamais ouvrir un mail douteux ou de provenance douteuse,
  • Ne jamais cliquer sur un lien dans un mail douteux ou de provenance douteuse,
  • Supprimer immédiatement chaque mail douteux ou de provenance douteuse.

De manière plus générale, les utilisateurs et les administrateurs sont encouragés à adopter les mesures préventives suivantes pour éviter le risque d’être infecté par un malware de type Cryptolocker :

  • Mettre en place des mécanismes de sauvegardes régulières de ses données importantes
  • Maintenir un programme antivirus à jour
  • Maintenir le système d’exploitation et les logiciels à jour, en appliquant les correctifs de sécurité et les patches les plus récents
  • Filtrer les domaines malveillants

Impact de Cryptolocker

Dans le cas particulier de cette entreprise, les conséquences de l’attaque virale ont été relativement faibles. Le virus a vite été maîtrisé, les mesures adéquates ayant rapidement été mises en œuvre. De plus, les fichiers et documents chiffrés sur les machines infectées ont pu aisément être restaurés grâce aux sauvegardes.
A travers le monde, plus de 545.000 ordinateurs ont été infecté par Cryptolocker en l’espace de neuf mois seulement. Les victimes auraient été escroquées à hauteur de 27 millions de dollars, selon les estimations du FBI en juin 2014. Il apparait finalement que 1,3% des victimes ont payé la rançon, sans avoir toutefois la certitude de recevoir en retour cette fameuse clé de déchiffrement…
Il est à noter que Cryptolocker se décline en de nombreuses variantes. C’est pourquoi il est primordial de s’assurer de pouvoir identifier les risques de sécurité et mettre en place des solutions efficaces de détection et correction de vulnérabilités.
ITrust propose de vous accompagner dans cette démarche de prévention grâce à son outil d’identification de vulnérabilités IKARE. Plus d’infos

Sources
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24786/en_US/McAfee_Labs_Threat_Advisory_Ransom_Cryptolocker.pdf
https://www.us-cert.gov/ncas/alerts/TA13-309A