Emsisoft publie un déchiffreur gratuit contre le rançongiciel Globe3

Emsisoft publie un déchiffreur gratuit contre le rançongiciel Globe3

Fabian Wosar, chercheur et directeur technique chez Emsisoft, vient de publier une nouvelle version du déchiffreur d’Emsisoft contrant les méfaits du rançongiciel Globe, permettant ainsi de récupérer les fichiers verrouillés par la dernière version de cette menace, découverte pour la 1re fois à l’été 2016.

La version 2, également appelée Globe2, avait fait son apparition deux mois plus tard, en Octobre. Toutefois, aucune des versions n’avait été à la hauteur des talents de l’équipe d’Emsisoft dont les membres ont pu sortir des déchiffreurs pour les deux variantes peu de temps après que Globe et Globe2 ont commencé à toucher les internautes.

Arrive la fin d’année 2016, et voilà que l’on signale à l’équipe du labo d’Emsisoft l’apparition d’une autre variante, Globe3, infectant les utilisateurs par le biais d’un nouveau modus operandi.

Des échantillons de Globe3 créés en utilisant un kit de développement de rançongiciels

Tout comme pour les deux précédentes versions de Globe, les fichiers binaires de Globe3 ont été conçus en utilisant un “générateur”, c’est-à-dire une application logicielle qui automatise le processus de personnalisation d’un fichier exécutable malveillant.

Les développeurs de Globe utilisent ce générateur pour modifier certains paramètres affectant le comportement de Globe3, personnalisant certains fichiers binaires malveillants selon les cibles qu’ils désirent toucher. Les demandes de rançon sont ainsi modifiées en fonction de la victime – elles sont plus importantes s’il s’agit d’une entreprise par exemple – et les adresses Bitcoin différentes selon les campagnes de spam.

C’est parce que tous les fichiers binaires de Globe3 comprenaient un fichier de configuration qu’il a été facile de déterminer quelles étaient certaines des fonctionnalités disponibles dans la plus récente version du générateur de rançongiciel Globe. [Découvrez ici, un exemple de fichier de configuration de Globe3]

  • [MELT] – Permet au rançongiciel de supprimer le fichier depuis lequel il est exécuté à l’origine après avoir réussi une infection
  • [TASKNAME] – Nom du processus du rançongiciel
  • [AUTOEXEC] – Demande au rançongiciel d’établir la persistance
  • [PROFILE] – Permet au rançongiciel de chiffrer premièrement le profil de l’utilisateur
  • [DRIVES] – Demande au rançongiciel de chiffrer tous les lecteurs connectés
  • [SHARES] – Incite le rançongiciel à chercher et à chiffrer les partages réseaux
  • [NAMES] – Le rançongiciel chiffrera également les noms des fichiers, masquant les noms originaux
  • [EXTENSION] – L’extension de fichier à ajouter au nom des fichiers infectés
  • [TARGETS] – Liste des types de fichier à cibler au cours du processus de chiffrement
  • [MESSAGE] – Demande de rançon (prise en charge du code HTML code). C’est ici que les cybercriminels contrôlent également l’adresse Bitcoin et le montant de la demande de rançon.
  • [N] and [E] – Les paramètres de la clé RSA utilisée par le rançongiciel pour chiffrer la clé AES
  • De plus, il existe des options permettant à l’attaquant de configurer l’arrière-plan ainsi que le nom de la demande de rançon

Comme vous pouvez le constater, le générateur permet aux individus y ayant accès de créer des variantes très diversifiées de Globe3.

Au moment où nous écrivons cet article sur base des informations recueillies par l’équipe d’Emsisoft, les victimes sont en mesure de reconnaître les infections par Globe3 s’ils constatent l’apparition de deux des extensions de fichier les plus couramment utilisées, .decrypt2017 et .hnumkhotep.

Néanmoins, les utilisateurs désirant s’assurer qu’ils sont des victimes de la variante Globe3 peuvent utiliser les services d’ID-Ransomware ou Crypto Sheriff pour confirmer leurs suspicions.

La demande de rançon générée par Globe3 est très souvent intitulée “How To Recover Encrypted Files.hta” (Comment récupérer ses fichiers chiffrés), comme vous pouvez la découvrir dans l’exemple ci-dessous :

Globe3-demande-rançon

Le changement le plus radical comparativement aux deux précédentes versions de Globe est le niveau de chiffrement. La première version avait eu recours à l’algorithme de chiffrement Blowfish pour verrouiller les fichiers tandis que Globe2, lui, utilisait RC4 et RC4 + XOR. La dernière version, Globe3, s’appuie sur AES-256, un algorithme de chiffrement symétrique performant.

Nous ne vous dévoilerons pas comment notre équipe du labo a réussi à déchiffrer les fichiers chiffrés par Globe3, toutefois le déchiffreur publié prend en charge toutes les variantes que le générateur de Globe3 est en mesure de créer.

Néanmoins, le rançongiciel présentant un bogue, les fichiers déchiffrés de taille inférieure à 64 Ko seront jusqu’à 15 octets plus lourds que les originaux. Cette différence de taille est due au fait que le rançongiciel arrondit la taille des fichiers à l’alignement de 16 octets supérieur, sans enregistrer la taille originale du fichier.

Cela ne posera aucun problème pour la majorité des formats de fichiers. Cependant, si des applications indiquent une erreur quant aux formats de fichier corrompus, les utilisateurs devront supprimer manuellement les zéros en fin de fichiers récupérés à l’aide d’un éditeur hexadécimal.

Les victimes de Globe3 peuvent télécharger gratuitement le déchiffreur ici. Les déchiffreurs pour Globe et Globe2 sont également disponibles si un internaute souffrait d’une infection préalable par l’une ou l’autre version, même si elles ne sont plus activement distribuées.

Cet article se base sur l’échantillon de Globe3 de hachage SHA-256 suivant : f2e0199eb54e3e51cd8ff11aa5b1ae0ef823cfd7b91e24d27c6bafa38c86cae0.