Apocalypse : le rançongiciel qui vise les entreprise via le protocole RDP

  • juin 29, 2016
  • 6 min read

Sans l’ombre d’un doute, 2016 est déjà l’année des rançongiciels. Ce n’est donc pas une surprise d’en découvrir de nouvelles familles semaines après semaines. Voilà des années maintenant qu’Emsisoft se trouve en première ligne dans la cyber-bataille contre les rançongiciels, proposant aux utilisateurs des outils précieux leur permettant de récupérer leurs fichiers suite aux attaques desdits programmes malveillants. Par conséquent, les chercheurs d’Emsisoft se trouvent souvent la cible de la haine des auteurs de rançongiciels. Fin 2015, nous nous sommes penchés sur Radamant, dans lequel les auteurs avaient inséré des messages peu aimables puisque notre équipe de chercheurs avaient réussi à percer le code de leur rançongiciel, plutôt amateur soit dit en passant. Aujourd’hui, nous souhaitons accorder toute notre attention à une nouvelle famille, Apocalypse, qui a fait son apparition il y a plus ou moins deux mois et qui aussi récemment a gratifié notre équipe de propos injurieux.

newsletter_apocalypse

Découvrons Apocalypse

Le rançongiciel Apocalypse est arrivé sur la toile le 9 mai. Les principaux vecteurs d’attaque sont les mots de passe faibles ou les serveurs de Windows non sûrs exécutant le service Remote Desktop. L’attaquant arrive par ces biais à forcer le système pour obtenir l’accès et les moyens d’interagir facilement avec le système… comme s’il était en présence de celui-ci. Malmener le Bureau à distance est devenu une affaire courante ces derniers mois, notamment au moment d’exécuter des rançongiciels comme Apocalypse.

Les premières variantes s’installaient elles-mêmes sur %appdata%\windowsupdate.exe et créaient une clé d’exécution appelée mise à jour windows aussi bien pour HKEY_CURRENT_USER que pour HKEY_LOCAL_MACHINE. Cette variante-ci avait pour extension .encrypted, créait une demande de rançon pour chaque fichier sous la forme de *filename*.How_To_Decrypt.txt, et utilisait les adresses e-mail [email protected]/[email protected]/[email protected]/[email protected] dans la demande de rançon.

Le 9 juin, une autre version d’Apocalypse fut découverte. Cette variante-là utilisait différents endroit, nom de clé d’exécution et adresse e-mail. Le rançongiciel s’installait également tout seul dans %ProgramFiles%\windowsupdate.exe, et créait une clé d’exécution appelée windows update svc. L’adresse e-mail utilisée dans cette variante était [email protected]

Le 22 juin, la toute dernière variante fit son apparition, comprenant cette fois de nombreuses modifications. Au lieu d’utiliser windowsupdate, le nom fut changé pour firefox. La dernière version en date s’installe elle-aussi seule dans %ProgramFiles%\firefox.exe, et crée une clé d’exécution intitulée firefox update checker. L’extension est désormais .SecureCrypted, et le nouveau nom pour la demande de rançon *filename*.Contact_Here_To_Recover_Your_Files.txt. L’adresse e-mail utilisée : [email protected]

Penchons-nous sur la dernière variante en date

Pour vous donner une meilleure idée de la façon dont Apocalypse fonctionne, il nous faut nous pencher sur les dernières variantes de hachage AC70F2517698CA81BF161645413F168C. Le rançongiciel vérifie tout d’abord la langue par défaut du système ; si elle est configurée sur russe, ukrainien ou biélorusse, le rançongiciel quitte le système sans le chiffrer.

Sinon, le rançongiciel se copie de lui-même dans %ProgramFiles%\firefox.exe s’il ne l’a pas déjà fait, et configure les attributs système et masqués. Il falsifie également l’horodateur dudit fichier par le biais de l’horodateur explorer.exe. La valeur d’exécution est alors créée afin que le rançongiciel soit exécuté à chaque démarrage :

Création des valeurs d'exécution

Création des valeurs d’exécution

Une fois l’installation terminée, il s’exécute ensuite dans le nouveau fichier firefox.exe, avant de l’effacer. Ce fichier firefox.exe effectue deux tâches en même temps : tout d’abord, il vérifie ponctuellement si certains processus Windows sont exécutés afin de les stopper, ensuite il commence sa routine de chiffrement en obtenant une liste de tous les lecteurs fixes, amovibles ou réseau distants. Notons toutefois que ces derniers ne sont jamais infectés pour cause d’un bogue dans le rançongiciel. Ce dernier analyse enfin tous les fichiers et dossiers trouvés pour les chiffrer.

Notons que le logiciel malveillant n’essaiera pas de chiffrer les fichiers comportant les extensions suivantes :

Les fichiers contenus dans le dossier Windows sont également épargnés.

Pour chiffrer un fichier, le rançongiciel vérifie d’abord s’il comporte déjà un chiffrement en comparant les quatre premiers octets du fichier avec la valeur magique : 0xD03C2A77. Si tel n’est pas le cas, le rançongiciel chiffrera le contenu en mémoire via un algorithme personnalisé type XOR :

Exemple de boucle de chiffrement Apocalypse

Exemple de boucle de chiffrement Apocalypse

L’algorithme exact varie légèrement d’une variante à l’autre. La valeur magique et le contenu chiffré seront alors écrits dans le fichier avant ajout de l’extension SecureCrypted au nom du fichier. Avant de le fermer, les horodateurs du fichier original seront restaurés et les notes de rançon suivantes créées pour le fichier :

TOUS VOS FICHIERS SONT CHIFFRÉS

Toutes vos données, documents, photos, vidéos, sauvegardes compris, sont intégralement chiffrées.

Le seul moyen de récupérer vos fichiers est de nous contacter à l’adresse suivante : [email protected]

Joindre à l’-email :
1. Un fichier texte avec l’adresse IP de votre serveur en objet (afin de localiser votre algorithme de chiffrement)
2. 1 à 2 fichiers chiffrés (ne pas envoyer de fichiers de plus de 1 Mo)

Nous vérifierons le fichier chiffré et vous enverrons un e-mail comprenant votre

FICHIER déchiffré afin de vous prouver que nous sommes en possession du logiciel de déchiffrement.

Rappelez-vous :
1. PLUS VITE vous NOUS CONTACTEREZ, PLUS VITE vous RÉCUPÉREREZ vos fichiers.
2. Si vous n’indiquez pas en objet de votre e-mail l’adresse IP de votre serveur, nous l’ignorerons.
3. Si vous n’avez reçu aucune réponse de notre part sous 24 heures, essayez de nous contacter via un service de messagerie unique comme Yahoo.

 

Le rançongiciel crée également une fenêtre qui présente à l’utilisateur une demande de rançon similaire :

L'écran qu'affiche le rançongiciel à l'utilisateur

L’écran qu’affiche le rançongiciel à l’utilisateur

Un aspect intéressant de cet écran est le message caché par l’auteur dans le code, à l’intention d’Emsisoft :

Le développeur d'Apocalypse insulte "emissoft"

Le développeur d’Apocalypse insulte « emissoft »

Comme par le passé, nous découvrons des messages comme celui-ci, prouvant une nouvelle fois la qualité de notre travail.

Comment déchiffrer mes fichiers chiffrés par ce rançongiciel ?

Tout comme pour de nombreuses autres familles de rançongiciels, Emsisoft met à la disposition de toutes les victimes d’Apocalypse un déchiffreur gratuit leur permettant de déchiffrer tous leurs fichiers… gratuitement.

Le déchiffreur d'Apocalypse créé par Emsisoft, en plein fonctionnement

Le déchiffreur d’Apocalypse créé par Emsisoft, en plein fonctionnement

Le déchiffreur est disponible pour téléchargement sur le portail Emsisoft Decrypter ici.

Comment me protéger ?

De par la nature de l’attaque, les logiciels de protection ne sont pas très efficaces. Si l’attaquant arrive à accéder au système via la commande à distance, il pourra tout simplement désactiver n’importe quel logiciel de protection installé ou ajouter le logiciel malveillant à la liste des fichiers à exclure du logiciel de protection. Il est donc impératif que l’attaquant n’ait pas accès au système en premier lieu.

La principale ligne de défense est de mettre en place et d’imposer une politique de mot de passe adéquate pour tous les comptes utilisateurs qui ont accès à distance au système. Cela s’applique également aux comptes peu utilisés comme ceux créés à des fins de test ou aux applications.

Il serait encore mieux de désactiver entièrement Remote Desktop ou Terminal Services si vous n’en avez pas impérativement besoin voire d’utiliser au moins les restrictions selon les adresses IP afin d’autoriser l’accès à ces services uniquement aux réseaux de confiance.

Fran Rajewski

What to read next

Reader Comments