CryptoWall 4.0 : la nouvelle génération de ransomwares est arrivée !

Protection des donnéesAntivirusCybercriminalitéPerte de données
cryptowall

CryptoWall 4.0 : la nouvelle génération de ransomwares est arrivée !

cryptowallL’évolution des ransomwares reste un sujet brûlant, du fait de l’odieux chantage dont il est question à chacune de leur action.

Néanmoins, aucun malware n’est vraiment plaisant, mais les ransomwares, qui cryptent vos données et les gardent en otage en attendant que la rançon soit payée afin de vous les restituer décryptées, vous obligent très souvent à envoyer de l’argent directement au cybercriminel en question, et en général sous la forme de bitcoins.

En 2015, nous avons écrit sur ce sujet de nombreuses fois. Nous nous sommes intéressés aux ransomwares tels que Teslacrypt, TorrentLocker, Los Pollos Hermanos, et finalement à CryptoWall, probablement le plus connu.

CryptoWall est actif depuis un certain temps déjà, et en est à ce que l’on pourrait appeler “la version 4.0”, comme s’il s’agissait d’une application officielle, contente de diffuser enfin une nouvelle mise à jour !

Nous avons décrit l’an dernier, au sujet de CryptoWall 3, à l’occasion d’une étude plus large que nous avions menée sur l’évolution des ransomwares entre 2014 et 2015.

Lors de l’arrivée de CryptoWall 4.0, nous avons pu immédiatement remarquer une différence majeure. En effet, CryptoWall a pimenté ses instructions pour la récupération des données, en y ajoutant des sarcasmes et autres railleries, par le biais notamment d’une fenêtre vous rappelant clairement qu’il vient de prendre le contrôle de vos fichiers :

cryptowall

Vous ne trouvez plus vos fichiers ?

Félicitations !!!!!

Vous venez de rejoindre la grande famille CryptoWall

cryptowall

Vos fichiers viennent d’être cryptés avec le logiciel CryptoWall : les instructions que vous trouverez dans les dossiers contenant vos fichiers cryptés ne sont pas des virus. Au contraire, ils sont là pour vous aider.

En général, après avoir lu intégralement  ce texte, la plupart des gens se précipitent sur internet et tape CryptoWall dans un moteur de recherche, où ils trouveront plein de commentaires, de conseils et de consignes.

Soyez logique, nous sommes à l’origine du cryptage de vos données, et par conséquent, nous sommes les seuls à détenir cette fameuse clé mystérieuse pour le décryptage de ces dernières.

Cependant, d’autres changements ont eu lieu par rapport aux versions précédentes. Ainsi nous avons pensé qu’il serait intéressant de vous informer sur les modifications apportées, par les cybercriminels en question, au niveau du ransomware CryptoWall.

Comment CryptoWall infecte votre ordinateur ?

CryptoWall 3 installe plusieurs copies de lui-même, afin de se donner plus de chance de réussir, en utilisant pour ce faire les endroits classiques où les malwares s’installent en général :

Vous devez vous demander pourquoi CrytoWall souhaite “survivre” après un redémarrage, dans la mesure où après avoir été activé et avoir crypté vos données, le mal est déjà fait, n’est-ce pas ?

En fait, comme beaucoup d’autres ransomwares, CryptoWall ne démarre pas le cryptage de vos fichiers immédiatement.

Il attend de se connecter à un serveur externe, contenant les clés de cryptage, et sous le contrôle des cybercriminels, afin de recevoir en retour une clé de codage à usage unique.

Cette clé de cryptage à usage unique n’a même pas besoin d’être stockée sur votre ordinateur. Ainsi aucune copie locale n’est disponible, laquelle vous aurait permis de récupérer vos données sans avoir à payer.

Bien sûr, cela signifie également qu’en cas de session ouverte offline, ou bien en cas d’un échec de la connexion au réseau et de la requête “call home”, le malware devra patienter encore un peu, et attendre que vous soyez de retour chez vous, par exemple, et qu’un nouveau démarrage de votre ordinateur ait lieu.

En plus des nombreuses copies locales du malware, qui permettent aux cybercriminels d’avoir la main sur votre ordinateur, il réalise aussi très probablement, des actions de détection, accidentelles ou planifiées.

Ainsi, CryptoWall 4 simplifie légèrement les choses, en se cachant uniquement dans %appdata%, et en créant un registre d’entrée de manière à être chargé à chaque connexion ou redémarrage.

Que fait CryptoWall avec vos fichiers ?

CryptoWall 4.0 crypte vos fichiers de la même manière que ses prédécesseurs, en utilisant l’algorithme de chiffrement AES, avec une clé générée de façon aléatoire, et ce pour chaque fichier.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Les clés de chiffrement AES, utilisées par CryptoWall pour chaque fichier, sont stockées localement. Cependant, elles sont elles-mêmes cryptées, par la suite, en utilisant une clé à usage unique, générée par les cybercriminels. Cela signifie que chaque fichier est crypté différemment, et ce même si le contenu est identique. Ainsi, une astuce miraculeusement trouvée pour décoder un fichier, ne pourra pas être utilisée pour un autre. Cela signifie également que toutes les clés utilisées, pour coder tous les fichiers, peuvent être décryptées avec la même clé principale mentionnée ci-dessus. Cependant, la seule copie de cette clé se trouve, par contre, sur les serveurs des cybercriminels en question. Au final c’est cette clé qu’il vous propose de leur acheter.

[/vc_message][/vc_column][/vc_row]

Cependant, une différence importante est que Cryptowall 4 crypte tous vos noms de fichiers, en plus de leurs contenus.

Nous pouvons facilement deviner pourquoi ces cybercriminels ont procédé à un tel changement : tout simplement pour que ce rançonnage odieux soit encore un peu plus insupportable pour vous.

Vous n’avez pas besoin d’ouvrir l’un de vos fichiers cryptés pour vérifier qu’il est effectivement illisible. En effet, la preuve est directement visible au niveau de l’explorateur de fichiers, et l’étendu des dommages causés est également rapidement visible.

Que vous demande de faire CryptoWall ?

CryptoWall 4,  comme ses prédécesseurs, s’assure de vous guider au mieux pour effectuer le paiement, et vous permettre de récupérer toutes vos données cryptées.

Dans chaque dossier, où des fichiers cryptés sont présents, le malware laisse des messages concernant la rançon, au format HTML, PNG et TXT.

Cela signifie que ces derniers s’ouvriront dans un éditeur d’images, un éditeur de texte ou bien un navigateur :

cryptowall

Avec CryptoWall 3, ces fichiers étaient appelés DECRYPT-INSTRUCTIONS. Cette fois, ils apparaissent avec le nom plus évocateur suivant : HELP_YOUR_FILES

Comme mentionné ci-dessus, la syntaxe utilisée dans ces fichiers est plus cynique que dans les précédentes versions de CryptoWall. Cependant, le changement opéré au niveau du nom et du contenu, ne relève pas seulement d’un changement d’attitude, mais aussi d’une stratégie de détection ou d’évitement.

En effet, la dernière chose que le cybercriminel souhaite, une fois que processus de demande de rançon a atteint un stage avancé, c’est bien évidemment que vous téléchargiez un anti-virus qui pourra alors détecter la menace en question, et supprimer tous les fichiers concernés …

… y compris ceux qui expliquent où envoyer l’argent !

Quoi faire ?

La prévention est le meilleur des remèdes, et même si vous devez en arriver au stade du remède, votre propre sauvegarde sera bien plus efficace que de jouer le jeu des cybercriminels :


//
// ]]>
Billet inspiré de “Ransomware evolution: Another brick in the CryptoWall” par Paul Ducklin de Naked Security
Partagez “CryptoWall 4.0 : la nouvelle génération de ransomwares est arrivée !” avec http://wp.me/p2YJS1-2mZ

4 Commentaires

Leave a Reply

Your email address will not be published.