Signaler

Ransomwares

Posez votre question buckhulk 16078Messages postés dimanche 21 septembre 2008Date d'inscription ContributeurStatut 26 septembre 2016 Dernière intervention - Dernière réponse le 28 sept. 2016 à 16:27
Bonjour,
quelques nouvelles sur certains ransomwares :
Petya
et :
Jigsaw
^^
Les questions montrent l'étendue de l'esprit , les réponses : sa finesse 
Il y a toujours quelqu'un qui sait ce que tu ne sais pas *Helper* *Contributeur/Sécurité*
Afficher la suite 
Utile
+3
moins plus
Salut,

Mouaip, ce sont des ransomwares très médiatisés mais dont la portée reste limité, surtout en France.

J'ai fait ce dossier sur les ransomwares.
Vous avez aussi l'excellent site : http://stopransomware.fr

Une liste est présente là : http://forum.malekal.com/ransomware-f98.html
et encore ce sont les plus répandus, car il y en a vraiment vraiment beaucoup.

En France, les plus répandus sont :
- Locky.
- Cerber.
- TestlaCrypt.
- CryptXXX (une solution est possible pour récupérer les documents, même si ça risque de ne plus fonctionner avec les prochaines versions).
- les variantes Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure) qui peuvent, elles, aller par des attaques Bruteforce RDP.

Comme expliqué dans le dossier plus haut, ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

Pour limiter la portée des emails malicieux, il faut désactiver les scripts sur Windows.
Pour les Web Exploit, maintenir ses programmes à jour et éviter de surfer avec Internet Explorer.
Marmiton est fait pour cela : Pour se protéger/limiter, il y a Marmiton

PS : pour Criakl, certains vont par des attaques RDP sur les serveurs.

buckhulk 16078Messages postés dimanche 21 septembre 2008Date d'inscription ContributeurStatut 26 septembre 2016 Dernière intervention - 7 mai 2016 à 09:27
J'ai fait ce dossier sur les ransomwares. 


Oui vu mais c'est aussi pour compléter ? peut-être....?

^^
Répondre
makitoch 451Messages postés samedi 14 juin 2014Date d'inscription 28 septembre 2016 Dernière intervention - 7 mai 2016 à 20:15
oui dernièrement il adore également passer par les macros de PDF et autre....
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 8 mai 2016 à 11:16
Les PDF n'embarquent pas de macros mais peuvent embarquer du JavaScript qui étaient utilisés d'ailleurs en 2008 dans des Web Explotti via Adobe Reader, ce sont les documents Offices qui embarquent des macros.
Deux méthodes sont utilisées dans les campagnes d'emails :
- les documents office avec macros (bien que souvent il s'agit de Cridex)
- des Javascript.

voir cette vidéo : https://www.youtube.com/watch?v=z7UdWiNkzcI

Pour se protéger/limiter, il y a Marmiton et en plus, ça protégera contre les infections amovibles Worm.VBS.
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 13 mai 2016 à 16:13
J'ai modifié le dossier des Ransomwares / Rançongiciel pour parler des MBR même si la portée de Petya reste très limité en France.

Une vidéo qui montre l'installation de Petya Ransomware : https://www.youtube.com/watch?v=vzte2OQHfUk
Répondre
Ajouter un commentaire
Utile
+3
moins plus
bonjour,

nous sommes plusieurs à tester les différentes variantes de Ransomwares avec les outils actuellement disponibles sur le net en machine virtuelle ou réelle !


tous ces infections sont en général détectées par les antivirus !

exemple avec Windows defender 10 :



Comme ceci a été dit plus haut, pour Petya, il est possible de déloquer la situation avec l'outil proposé ici

à lire :

http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/


pour les Tesla, il y a plusieurs variantes :



Cette variante qui remplace les extensions des fichiers en Crypt (CryptXXX / RSA 4096) est déchiffrable avec l'outil de Kaspersky mais :

cet outil ne déchiffre pas les fichiers compressés (Zip, Rar, ..) et tous les fichiers au format vidéos.

cette variante ne touche pas aux fichiers dans la corbeille.

pour pouvoir déchiffrer les données, l'outil demande une copie chiffrée et une copie saine.

après le scan, l'outil restaure, dans la mesure du possible, les fichiers à leur emplacement.

Note :

Dans les paramètres de l'outil proposé par Kaspersky, il ne faut surtout pas cocher la case de suppression des fichiers originaux (Chiffrés) au cas ou d'autres outils feraient leur apparition permettant de récupérer les données .

après le passage de l'outil, on voit bien que les fichiers sont déchiffrés à leur emplacement :



Note :
Vu que je suis un joueur, j'ai laissé une page de Petya dans mon dossier (La tête de mort :P )

pour cette variante testée, après chaque redémarrage, une page de demande de rensom s'affiche, cette page pointe vers un fichier et un lien en Html :

2016-04-30 19:27 - 2016-04-30 19:27 - 01348854 ____T C:\ProgramData\B37F42F84691.bmp
2016-04-30 19:27 - 2016-04-30 19:27 - 00014453 _____ C:\ProgramData\B37F42F84691.html
Startup: C:\Users\VM de tests\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\659F660B091D.lnk [2016-04-30]2016-04-30 19:27 - 2016-04-30 19:27 - 1348854 ____T () C:\ProgramData\B37F42F84691.bmp
2016-04-30 19:27 - 2016-04-30 19:27 - 0014453 _____ () C:\ProgramData\B37F42F84691.html
2016-04-30 19:27 - 2016-04-30 19:27 - 0014453 _____ () C:\ProgramData\B37F42F84691.html


on peut fixer ces lignes pour ne plus avoir le message au démarrage.


pour une autre version de tesla, l'extension des fichiers reste intacte, mais les fichiers sont chiffrés quand même (Non lisible).



un autre outil nommé "Shadow explorer" permet parfois de récupérer les fichiers chiffrés selon les variantes de tesla.

il faut tester selon la variante de l'infection installée sur le pc, donc tout ceci reste sous condition de tomber sur le bon outil !

à noter que toujours selon les variantes, les Shadow explorer sont parfois supprimés, la restauration système désactivée.

Attention :

Ces infections chiffrent aussi les données sur les supports externe connectés au pc au moment de chiffrement des données.

sur ce, Have Fun :-)

buckhulk 16078Messages postés dimanche 21 septembre 2008Date d'inscription ContributeurStatut 26 septembre 2016 Dernière intervention - 8 mai 2016 à 10:02
Super !!! ;)

^^
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 8 mai 2016 à 11:14
tous ces infections sont en général détectées par les antivirus !

Mouais.. il y a quand même une différence avec Windows Defender qui est largement battu (c'est que si on récup un sample 3 semaines après, ça ne se voit pas).
Mais au moment T de la campagne, Windows Defender est souvent battu...
De ce que j'ai vu parfois il leur faut 2 jours pour ajouter une détection...

Exemple là :
http://forum.malekal.com/ransomware-locky-dridex-empire-t54467-15.html#p419283
http://forum.malekal.com/teslacrypt-ransomware-fichiers-extensions-jpg-mp3-t53347.html#p410436
etc..

Bref celui qui a un Windows Defender tout seul est quand même plus vulnérable.
Répondre
Ajouter un commentaire
Utile
+0
moins plus
merci de l'info ^^
Ajouter un commentaire
Utile
+0
moins plus
Bonjour,

pour "contrer Jigsaw : JigSawDecrypter

- Ne pas oublier de désactiver son antivirus....

^^


Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 8 mai 2016 à 11:11
il y a déjà une V2 pour ce ransom depuis un moment : http://forum.malekal.com/jigsaw-crypto-ransomware-t54923.html#p418815 qui va faire que la récupération est impossible.
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Comme cela est mentionné sur le dossier Ransomware / Rançongiciel.
Certains de ces ransomwares vont par des attaques RDP sur les serveurs.

J'ai ouvert une actualité autour de ces attaques de ransomwares qui se font par ce protocole : attaques Bruteforce RDP.

Ajouter un commentaire
Utile
+0
moins plus
pour cette variante de "Jigsaw" qui change les extensions des fichiers en .Fun !

l'antivirus le choppe direct dés son arrivée sur le pc !
(testé avec Windows defender 10, Avast et AVG, par contre, Avira le laisse passer) !


déjà, il faut avoir Framework 3,5 sur le pc pour que le truc se lance !



pour le tester en VM, je l'ai installé ! (Pourquoi pas !)

puis lancé le dropper, étrange message qui s'affiche :



puis le truc s'installe avec un processus nommé "Firefox" laissant 1h00 à la victime pour achter ces fameux bitcoin, l'image reste en résidant et premier plan, seule solution de s'en défaire est de passer par le gestionnaire de tâches et arrêter le processus Firefox :



Contrairement à certaines variantes de Tesla, jigsaw chiffre même les fichiers dans la corbeille :



bref, bilan :

tous les fichiers format .txt, .zip, .rar, .jpg, .png, .xlsx, .docx, .pdf et .doc sont transformés en .fun
pareil pour les fichiers dans la corbeille

il ne touche pas aux extensions des fichiers : .bmp, Mp3 et format vidéo (Avi, mpeg, ...) mais les fichiers sont chiffrés.

après le lancement de l'outil Jigsaw decrypter et en sélectionnant l'emplacement des fichiers, certains ont été déchiffrés, mais pas tout !




les fichiers .mp3 et avi (je suppose qu'il y en a d'autres de ce genre format vidéo) ne seront toujours plus lisibles, un message erreur apparaît :



pour pouvoir lire ces fichiers, il faut modifier le lecteur par défaut :





Have Fun :-)

Ajouter un commentaire
Utile
+0
moins plus
CryptXXX V2 est sorti, le tool de Kaspersky ne fonctionne plus.
=> Voir Fiche CryptXXX - Ransomware RSA4096

CryptXXX a des fonctionnalités de Winlocker, puisqu'il peut bloquer l'accès au bureau.

Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 13 mai 2016 à 19:59
Fiche CryptXXX mise à jour, le tool de Kaspersky a été mis à jour et gère CryptXXX V2.
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 21 mai 2016 à 00:44
A nouveau inefficace.
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 26 mai 2016 à 07:34
la v3 de CryptXXX est sortie.
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Du côté de Locky, les binaires sont hébergés sur des sites magento piratés.
J'ai fait une petit vidéo : https://www.youtube.com/watch?v=8hc2cs93ibg

Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 17 mai 2016 à 16:40
Qu'est-ce qu'on s'amuse.....

https://labsblog.f-secure.com/2016/05/17/psa-payload-via-hacked-locky-host/
https://twitter.com/campuscodi/status/732552766229471232

c'est marrant la distorsion entre les annonces et la réalité.

Le fichier en question est quand même à 15 détections sur VT : https://www.virustotal.com/en/file/d61cc83776547e2c5f3b1ca4b2b6e3e8eb3d43a094a0c8fef2a61050f474081c/analysis/
alors qu'il s'agit d'un simple msgbox avec une image embarquée.
On voit que les AV ajoutent des détections auto n'importe comment #modeSkynet \o/

et sinon dans le genre article insipide qui en plus raconte n'importe quoi (clef Locky), le ponpon revient au Figaro ... : http://www.lefigaro.fr/secteur/high-tech/2016/05/16/32001-20160516ARTFIG00061-comment-se-premunir-contre-le-rancongiciel-locky.php

avec l'habituel "FAUT AVOIR UN ANTIVIRUS A JOUR".... surtout Windows Defender...
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 17 mai 2016 à 23:18
Le premier fork Locky avec Goliath : http://forum.malekal.com/locky-ransomware-crypto-ransomware-t54444.html#p420214
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 18 mai 2016 à 18:00
un autre "blabla" sur les hacks Locky : https://storify.com/BelchSpeak/the-dridex-avenger-strikes-again
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 20 mai 2016 à 13:06
Les .js Locky modifiés pour tenter de bloquer les problèmes de pirates des Payload : http://www.malwaretech.com/2016/05/dridex-updates-payload-distribution.html

M'est d'avis, que ça ne générera en rien :P
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 23 mai 2016 à 17:28
Le binaires mis en lignes sur les sites piratés sont maintenant offusqués : https://twitter.com/malekal_morte/status/734667874359468032
(comprenez illisible, vous téléchargez ce dernier, vous l'exécutez ça mettra une erreur car pas format PE).

Le JS s'occupe de dé-offusquer le fichier téléchargé avant de le faire exécuter sur l'ordinateur.

Cela permet :
- d'empêcher la récupération massive par des personnes pour les envoyer aux antivirus. Répertorier les URLs etc.
- empêcher le remplacement des binaires par celui qui mettait une alerte, puisque le JS va faire une opération dessus et va corrompre ce dernier.
La personne au bout aura un message disant que le fichier est corrompu, c'est toujours mieux que d'avoir le ransomware Locky.

Apparemment, cela n’empêche pas le remplacement du binaire par une version safe qui a été aussi offusquée, puisqu'on continue à avoir le message d'alerte.
Reste que la clef XOR utilisée va surement changer régulièrement, ce qui oblige les personnes qui remplace l'exe a suivre cette clef.

On voit que Locky a pris très aux sérieux le remplacement des .exe malicieux =)
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Petya modifié :

http://www.bleepingcomputer.com/news/security/petya-is-back-and-with-a-friend-named-mischa-ransomware/

Edit :

nouvelle variante de Jigsaw qui ajoute les extensions en .porno :

http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-becomes-cryptohitman-with-porno-extension/

Tesla Crypt 4.2 :

http://www.bleepingcomputer.com/news/security/teslacrypt-4-2-released-with-quite-a-few-modifications/



Ajouter un commentaire
Utile
+0
moins plus
Il est maintenant possible de récupérer les fichiers TeslaCrypt toute variantes confondus :

Récupérer fichiers .micro, .jpg, .mp3 avec TeslaDecoder.
Ajouter un commentaire
Utile
+0
moins plus
Une info pour celles et ceux qui sont ou ont été infecté par toutes les variantes de Tesla (Sauf CryptXXX) :

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/


une autre info :

http://www.bleepingcomputer.com/news/security/the-week-in-ransomware-may-20-2016/


Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 21 mai 2016 à 10:59
En vidéo et en français : https://www.youtube.com/watch?v=XAhKgXyFxJs =)
Répondre
Ajouter un commentaire
Utile
+0
moins plus
A l'attention de toutes les personnes étant touchées par TeslaCrypt version 3.0 à 4.2 :

Eset a mis à la disposition des internautes touchés par cette infection un outil permettant de déchiffrer les données :

http://support.eset.com/kb6051/

Source : http://korben.info/ransomware-teslacrypt-dechiffrement-enfin-possible.html


on essayera de le tester sur CryptXXX pour voir s'il fonctionne là dessus !

Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 26 mai 2016 à 07:33
Oui déjà dit plus haut, TeslaDecoder est aussi suffisant.
Voir cette fiche avec vidéo explicative pour récupérer ses documents : http://forum.malekal.com/fiche-teslacrypt-t53943.html#p420280

> https://www.youtube.com/watch?v=XAhKgXyFxJs
Répondre
Ajouter un commentaire
Utile
+0
moins plus
J'ai ajouté une fiche Ransomware Zcrypt mais bon, je ne pense pas qu'il va être très actif en France.

Ajouter un commentaire
Utile
+0
moins plus
Cerber en vidéo : https://www.youtube.com/watch?v=tQR7nqa6aMI&feature=youtu.be
Pour rappel, la fiche Cerber : Fiche Ransomware Cerber.
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 27 mai 2016 à 23:34
tiens d'ailleurs, Uptobox dirige vers une régie pourrie qui charge un WebExploit Kit avec Cerber au bout : http://www.malekal.com/malvertising-uptobox-cerber/
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 10 juin 2016 à 15:14
Les campagnes sur Uptobox etc continuent.
Cerber modifie maintenant le fond d'écran et intègre un antivm.
Répondre
Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 12 juin 2016 à 12:02
Mise à jour de : http://www.malekal.com/malvertising-uptobox-cerber/
D'autres régies publicitaires pour pousser des malvertising et http://forum.malekal.com/crimeware-magnitude-exploitkit-popads-t48799.html#p421268Magnitude ExploitKit]
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Trend Micro a mis au point un déchiffreur pour Tesla Crypt (v1-> v4) et CryptXXX (v1 et v2, v3??)

https://esupport.trendmicro.com/solution/en-US/1114221.aspx

si on tombe sur un dropper de la dernière version, on le testera et mettra le résultat pour ceux que ça intéressent !

Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 6 juin 2016 à 19:25
La dernière version de CryptXXX, c'est la 3.1 et l'extension est .cryp1 : crypt1 - ransomware crypt1.
Donc ça ne fonctionnera pas avec "un dropper de la dernière version".
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Une variante BandarChor / Criakl / Rakhni (Crypto-Ransomware) ou Mobef qui peut toucher la France via une malvertising sur Trafficholder.
Ca restera limité, mais il y aura surement quelques victimes.

L'extension utilisée est .KEY7

La fiche du Ransomware .KEY7 : Ransomware .Key7

Malekal_morte- 117589Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 12 juin 2016 à 12:03
Ca continue : http://www.malekal.com/trafficholder-malvertising-exploit-kit-trojan-et-ransomware/
avec aussi des stealer stype Smokebot, d'autres ransomwares etc.

Ca doit faire depuis un sacré moment que cela tourne, puisque j'avais déjà choppé une fin Avril.
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Les spams du ransomware Locky font leur retour après une absence de 10 jours.
Les spams sont en anglais mais soyez vigilant.

http://forum.malekal.com/ransomware-locky-dridex-empire-t54467-30.html#p421688
Ajouter un commentaire
Utile
+0
moins plus
Locky avec une extension .zepto : http://www.malekal.com/locky-ransomware/#EDIT_8211_Locky_utilise_maintenant_lrsquoextension_zepto


Ajouter un commentaire
Utile
+0
moins plus
Bonjour,

Toujours pas de solution .....?

^^
brupala 64343Messages postés lundi 16 juillet 2001Date d'inscription ModérateurStatut 29 septembre 2016 Dernière intervention - 30 juin 2016 à 15:12
Celui qui la trouve devient milliardaire....
Répondre
buckhulk 16078Messages postés dimanche 21 septembre 2008Date d'inscription ContributeurStatut 26 septembre 2016 Dernière intervention - 1 juil. 2016 à 04:06
il y aura suspicion ....;-)
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Les faux emails #freemobile poussant le #ransomware #locky sont de retour, soyez vigilant : http://forum.malekal.com/ransomware-locky-dridex-empire-t54467-30.html#p422110


Ajouter un commentaire

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !