Blague du jour : Même les pirates ont besoin qu’on s’occupe d’eux

  • novembre 4, 2016
  • 3 min read

blog_principal_déchiffreurs

De nos jours, le cybercrime n’est plus un fait anecdotique, et il se présente sous bien des jours. Toutefois 2016, l’année des rançongiciels, a vu de nouvelles familles –et il en sort chaque semaine– engranger de sérieux bénéfices. L’Emsisoft Malware Lab monte tous les jours au créneau pour mener une féroce bataille, et il n’est pas rare que nos chercheurs en sécurité soient contactés par les développeurs de ces programmes malveillants ni qu’ils soient la cible de leurs moqueries, sarcasmes voire parfois félicitations de par les prouesses démontrées en matière de déchiffrement d’un programme malveillant. Par contre, quelle ne fut pas notre surprise quand un pirate décida de nous contacter pour nous vendre ses clés de déchiffrement.

Voilà un bon moment que notre directeur de la technologie et chercheur en sécurité, Fabian Wosar, recueille les clés de déchiffrement des rançongiciels de fs0ciety. Alors, quand le développeur de ce dernier e contacta pour tenter de lui vendre 200 clés de déchiffrement pour 10 bitcoins, il s’ensuivit un échange des plus amusants sur Twitter.

fabian_conversation

Bleeping Computer rapporte que Fabian Wosar et Michael Gillespie ont déjà utilisé des clés recueillies pour déchiffrer gratuitement les fichiers de nombreuses victimes.

« Nous l’avons fait discrètement via la rubrique Fsociety Locker Ransomware Help and Support Topic de BleepingComputer, Twitter, le site d’Emsisoft et d’autres forums ou sites d’assistance. »

Bien que nous ne puissions publier publiquement les faiblesses dudit programme malveillant, nous estimons qu’au total « Fabian a recueilli 11 366 clés avant que le développeur malveillant n’arrête le processus. »

michael_twitter

L’Emsisoft Lab collabore étroitement avec Michael Gillepspie de la Malware Hunter Team, créateur également d’ID Ransomware, un site Web ayant pour objectif de vous aider à découvrir quel rançongiciel vous pose problème selon les signatures spécifiques trouvées dans la demande de rançon que vous recevez. Lors d’une interview récente, il nous a expliqué le procédé qu’il utilisait pour identifier les familles de rançongiciels, et nous a parlé des différentes techniques utilisées pour identifier le rançongiciel en question notamment en regardant le nom du fichier comprenant la demande de rançon, les adresses e-mail ou BitCoin connues renseignées dans la demande, le motif de chiffrement du nom du fichier (comme certaines extensions par exemple) voire certains motifs hexa. laissés par le rançongiciel dans des fichiers. Une fois la variante identifiée, les faiblesses peuvent être exploitées et des solutions de déchiffrement proposées aux utilisateurs victimes.

Quand le rançongiciel d’un pirate ne présente plus une menace en tant que telle, il perd de l’élan. Comme pour n’importe quelle entreprise rentable, les pirates ont besoin de « clients ». Sur les marchés en ligne, un manque de publicité ou une réputation de piètre qualité entraînera la déchéance d’un pirate quasi instantanément, jusqu’à ce que celui-ci publie une nouvelle variante qui mérite qu’on en parle.

Notre réputation en matière de déchiffrement de certaines variantes est telle que ce que n’est pas la première fois que Fabian se trouve dans la ligne de mire des développeurs malveillants. D’ailleurs récemment, puisqu’il ne cessait de déchiffrer le code du rançongiciel de la famille Apocalypse, une des variantes a même porté son nom.

En s’adressant directement aux chercheurs en sécurité, comme c’est le cas ici, le développeur montre un besoin grandissant de se faire remarquer, à la limite du risible. « Nous sommes tellement intelligents et nous faisons tellement peur que nous sommes les seuls à pouvoir résoudre le problème que nous avons créé. », semble-t-il vouloir dire. Heureusement, c’est rarement le cas. Le travail sans relâche de l’équipe de l’Emsisoft Lab et les braves types comme Michael Gillespie de la MalwareHunterTeam – ainsi que les outils proposés gratuitement – font qu’il est généralement assez facile de trouver une solution.

Nous vous souhaitons une excellente journée (exempte de logiciels malveillants) !

Fran Rajewski

What to read next

Reader Comments