Comment identifier une attaque de rançongiciel et trouver le bon déchiffreur

blog_principal_gillespie

Que ressentiriez-vous si, en allumant votre ordinateur, vous découvriez qu’il a été verrouillé et que l’on vous demande de payer une rançon immédiatement ? Les rançongiciels sont la principale menace informatique en 2016, dépassant de loin les autres dans la sphère des menaces en ligne actives aujourd’hui. Ils sont devenus pour les pirates informatiques le moyen le plus facile, rapide et lucratif de se faire de l’argent. Tous les autres logiciels malveillants rapportent de l’argent indirectement à leurs développeurs (en utilisant ou vendant la puissance des ordinateurs) mais le rançongiciel vous demande à vous (la victime) de payer, vous mettant dans une situation telle que vous n’avez guère d’autres choix.

L’équipe d’Emsisoft consacre de nombreuses heures à essayer de faire en sorte que les rançongiciels n’arrivent jamais sur votre ordinateur. Mais qu’en est-il des systèmes déjà corrompus ? Ne paniquez pas. Télécharger de nombreux outils dans l’espoir de déverrouiller votre système ne fera qu’empirer la situation. Si vous êtes la victime d’un rançongiciel, ne cherchez pas plus loin.

Emsisoft est fier de soutenir la Malware Hunter Team – l’équipe de chasseurs de logiciels malveillants, un groupe de chercheurs qui partage notre engagement à vous protéger et à assurer la protection de vos données.

La Malware Hunter Team accomplit un travail extraordinaire non seulement en matière de sensibilisation aux menaces en ligne mais également de suppression de celles-ci au cas où vous en tomberiez victime. Qu’est-ce que cela signifie concrètement pour vous ? Si vous tombez sous le coup d’un rançongiciel, vous pouvez identifier de quelle souche vous êtes victime et trouver le déchiffreur le mieux adapté à votre problème.

Nous avons parlé avec Michael Gillespie de la Malware Hunter Team et créateur d’ID Ransomware, le site Web qui vous aide à identifier de quel type de rançongiciel vous êtes la victime selon les signatures spécifiques renfermées dans la demande de rançon que vous recevez. Il nous a guidé à travers le procédé d’identification des différentes familles de rançongiciel.

De qui se compose la Malware Hunter Team, et que font-ils ?

La Malware Hunter Team est en fait un petit groupe de chercheurs en sécurité qui s’intéresse à la détection de logiciels malveillants et à la promotion de la cybersécurité. Ils excellent en détection de sites d’hameçonnage et autres menaces au quotidien. J’ai rejoint l’équipe il y a peu, contribuant à leurs travaux avec ma recherche sur les rançongiciels, et nous travaillons en collaboration afin de débusquer et d’identifier de nouvelles menaces.

Je coordonne personnellement les victimes de rançongiciels et fais mon possible pour traquer les dernières variantes en date. Si possible, je contribue à la rétro-ingénierie pour tenter de déchiffrer le chiffrement si possible, bien sûr.

 Si l’ordinateur d’un internaute est infecté par un rançongiciel, que doit-il faire ?

Je dirais qu’en premier il vaut mieux mettre le système en quarantaine. Dans une société, cela peut même parfois dire trouver quel ordinateur est corrompu. Le système devra alors être arrêté ou mis en veille prolongée si possible. De là, il faudra alors identifier la menace comme pour toute autre infection par logiciel malveillant.

C’est donc à ce moment-là que vous intervenez, correct ? De ce que je comprends, vous vous spécialisez en identification de type de logiciel malveillant dont sont victimes les internautes, c’est bien ça ? 

Oui. Parfois, cela s’avère un peu délicat, surtout dernièrement avec les nouvelles souches qui en imitent d’autres ou se camouflent magistralement bien.

Avec autant de familles et de nouvelles souches, comment les différencier ? J’ai vu qu’il en existe des centaines qui peuvent être déchiffrées gratuitement via votre site. 

C’est là que ça corse. En général, nous les classons par symptômes : quelle extension est utilisée, quelle demande de rançon les accompagne, etc. Parfois, il nous faut être plus technique pour reconnaître s’il s’agit d’un même auteur sur base du style du code ou certaines chaînes dans le logiciel malveillant.

Mettons-nous dans la peau d’une victime qui découvre l’écran de verrouillage du rançongiciel puis se rend sur votre site. Et après, que doit-il faire ? En quoi consiste le procédé ?

Je me suis efforcé de simplifier au maximum ID Ransomware pour les utilisateurs. Ils doivent juste télécharger la demande de rançon qui accompagne le rançongiciel ainsi que l’un des fichiers chiffrés (je recommande toujours de ne rien télécharger de confidentiel). Ensuite, le site Web utilisera plusieurs méthodes pour tenter d’identifier de quel rançongiciel il s’agit. S’il trouve une correspondance, un statut sur la possibilité de déchiffrement s’affichera, car c’est bel et bien la préoccupation majeure des victimes à ce moment-là. Il fournira ensuite davantage d’informations, que le déchiffrement soit possible ou non, afin que les victimes puissent comprendre ce qui leur arrive et peut-être déterminer comment cela est arrivé.

J’utilise quelques techniques d’identification allant du nom du fichier de la demande de rançon, à certaines adresses e-mail ou BitCoin connues dans la demande, en passant par le motif du nom du fichier chiffré (le type d’extension ajoutée par exemple) et les motifs hexa laissés par certains rançongiciels dans leurs fichiers. J’ai également personnalisé certains modules d’extension afin de pouvoir utiliser des techniques plus avancées comme la détection d’images intégrées dans une souche en particulier.

Avec la quantité de travail que cela représente, pourquoi proposer vos services gratuitement ?

En partie car je suis inspiré par les autres volontaires qui œuvrent dans ce domaine. J’obtiens la majorité de mes informations de sources comme les victimes, Twitter et l’Emsisoft Malware Lab. En outre, je ne veux pas prendre en otage une victime à qui je viens en aide pour déchiffrer ses fichiers. Je ne vaudrais alors pas mieux que les cybercriminels. L’information, en elle-même, devrait être accessible à tous.

On dirait que les rançongiciels prennent une place prépondérante dans le monde des menaces. À votre avis, à quoi ressemblera l’avenir des logiciels malveillants ?

J’avoue qu’ils sont une menace de plus en plus présente, dans tous les domaines, comme nous pouvons le constater avec l’Internet des choses. La plupart des appareils non sécurisés le sont même directement d’usine. Depuis une année que je suis impliqué dans le projet, je remarque de nombreuses adaptations et un élan de « créativité ». Certains des rançongiciels que nous avons découverts récemment imitent une mise à jour Windows alors qu’ils chiffrent les données, d’autre créent une porte dérobée dans le système, d’autres encore téléchargent les mots de passe, etc. On dirait que les auteurs malveillants combinent un plus grand nombre de caractéristiques en un seul logiciel malveillant.

Comment les internautes peuvent-ils mieux se protéger ?

La meilleure protection commence par la compréhension de ce sur quoi ils cliquent. Choisir un bon anti-malware c’est bien, mais savoir comment l’utiliser et comment NE PAS AVOIR À S’EN SERVIR est mieux. Je dirais franchement « Faites preuve de bon sens » quand vous naviguez en ligne et quand vous décidez quel programme exécuter sur votre ordinateur.

J’aimerais également insister sur un point essentiel : SAUVEGARDEZ, SAUVEGARDEZ, SAUVEGARDEZ ! (L’équipe d’Emsisoft en parle d’ailleurs dans l’un de ses récents billets « Le meilleur moyen de ne pas se faire avoir par les rançongiciels ? Sauvegardez !« )

blog_scission_contenu_gillespie

Quels rançongiciels peuvent être détectés sur ID Ransomware ?

Le service détecte à présent 163 rançongiciels différents. En voici une liste complète et dynamique :

777, 7ev3n, 7h9r, 8lock8, ACCDFISA v2.0, Alfa, Alma Locker, Alpha, AMBA, Apocalypse, Apocalypse (Unavailable), ApocalypseVM, AutoLocky, AxCrypter, BadBlock, Bandarchor, BankAccountSummary, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitMessage, BitStak, Black Shades, Blocatto, Booyah, Brazilian Ransomware, Bucbi, BuyUnlockCode, Cerber, Cerber 2.0, Cerber 3.0, Chimera, Coin Locker, CoinVault, Coverton, Cryakl, CryFile, CrypMic, Crypren, Crypt0L0cker, Crypt38, CryptFuck, CryptInfinite, CryptoDefense, CryptoFinancial, CryptoFortress, CryptoHasYou, CryptoHitman, CryptoJoker, CryptoMix, CryptorBit, CryptoRoger, CryptoShocker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CrySiS, CTB-Faker, CTB-Locker, DEDCryptor, DirtyDecrypt, DMA Locker, DMA Locker 3.0, DMA Locker 4.0,Domino, ECLR Ransomware, EduCrypt, El Polocker, Encryptor RaaS, Enigma, Fantom, GhostCrypt, Globe, Gomasom, Herbst, Hi Buddy!, HolyCrypt, HydraCrypt, Jager, Jigsaw, JobCrypter, JuicyLemon, KeRanger, KEYHolder, KimcilWare, Kozy.Jozy, KratosCrypt, Kriptovor, KryptoLocker, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MirCop, MireWare, Mischa, Mobef, NanoLocker, NegozI, Nemucod, Nemucod-7z, NullByte, ODCODC, OMG! Ransomcrypt, PadCrypt, PayForNature, PClock, PowerLocky, PowerWare, Protected Ransomware, R980, RAA-SEP, Radamant, Radamant v2.1, Razy, REKTLocker, RemindMe, Rokku, Russian EDA2, SamSam, Sanction, Satana, ShinoLocker, Shujin, Simple_Encoder, Smrss32, SNSLocker, Sport, Stampado, SuperCrypt, Surprise, SZFLocker, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TowerWeb, ToxCrypt, Troldesh, TrueCrypter, UCCU, UmbreCrypt, Unlock92, Unlock92 2.0, Uyari, VaultCrypt, VenusLocker, WildFire Locker, WonderCrypter, Xorist, Xort, XRTN, zCrypt, ZimbraCryptor, Zyklon

Si vous êtes victime d’un rançongiciel, accédez sans plus tarder au site ID Ransomware. Si vous voulez en savoir plus sur la Malware Hunter Team, passez sur leur site : malwarehunterteam.com.

Nous vous souhaitons une excellente journée (sans logiciel malveillant) !

Fran Rajewski

What to read next

Reader Comments