Site icon Sophos News

Le ransomware Zepto : un nouveau Locky ?

Le ransomware Zepto : un nouveau Locky ?

Nous vous présentons le dernier arrivé dans l’univers des ransomwares : Zepto.

Il est très similaire au bien connu malware Locky, les effets d’une attaque menée par ce dernier sont identiques : vos fichiers sont chiffrés, et les cybercriminels vous proposent alors de vous vendre la clé de déchiffrement.

En réalité, les familles de malwares Zepto et Locky sont tellement proches que lorsque vous arrivez sur la “page de paiement” de Zepto, sur laquelle les cybercriminels vous expliquent combien vous devez payer pour récupérer vos données, vous voyez ceci :

Il existe néanmoins une différence évidente par rapport à une infection Locky : en effet, après une attaque Zepto, vos fichiers seront renommés avec une extension .zepto (Locky avait été nommé ainsi car les fichiers avaient reçus l’extension .locky).

En renommant vos fichiers, les cybercriminels souhaitent tout simplement vous faire comprendre l’enjeu réel si vous ne payez pas.

A ce moment-là vous pouvez apprécier combien vous êtes proche de récupérer vos données, mais aussi combien vous en êtes loin.

Comment Zepto arrive ?

Les semaines passées, nous avons pu voir des variantes de Zepto se propager de 2 manières différentes, lesquelles sont traditionnellement utilisées par les ransomwares à but criminel :

Dans le premier cas, en ouvrant l’archive ZIP vous lancerez l’extraction d’un fichier avec une extension .JS (JavaScript).

Si JavaScript semble être un format étrange pour une pièce jointe, qui revendique être un document, rappelez-vous que Windows a supprimé par défaut la partie .JS du nom du fichier, affichant ce dernier uniquement associé à un icône qui donne l’impression qu’il s’agit d’un fichier texte :

Cependant, en ouvrant le fichier JavaScript, vous lancerez le script du programme qui s’y trouve, qui téléchargera ensuite le ransomware sous la forme d’un fichier .EXE (programme Windows), et le lancera également.

Dans le deuxième cas, la pièce jointe est un DOCM, ainsi en double cliquant sur ce fichier, vous l’ouvrirez par défaut dans Word.

Cependant, DOCM signifie en réalité “document avec macros”, un type spécial de document qui contient des scripts intégrés écrits en .

Le VBA est un langage de programmation qui est très similaire au JavaScript, et qui peut être utilisé pour servir les mêmes objectifs, y compris la propagation de malwares.

Les Macros, à l’intérieur d’un fichier Word, ne sont pas lancées par défaut (une précaution de sécurité introduite il y a des années maintenant par Microsoft). Elles déclenchent une alerte comme celle ci-dessous, vous invitant à utiliser le bouton [Options], afin d’ajuster vos paramètres de sécurité.

Dans le cas des récentes attaques Zepto que nous avons vu, les documents piégés étaient vierges en débouchant, après l’ouverture, de manière inhabituelle sur une page vide :

La plupart des documents qui transportent avec eux des ransomwares, en général fournissent des explications ou bien des excuses pour vous encourager à cliquer sur [Options], et à changer les paramètres de sécurité, en prétextant souvent et ironiquement d’ailleurs que cela améliorera votre propre sécurité.

Dans notre cas, les cybercriminels sont restés discrets, en espérant que vous cliquerez sur [Options] de votre propre initiative.

Nous ne savons pas s’il s’agit ici d’un accident (en oubliant d’intégrer des instructions explicatives), ou bien si cette manœuvre est volontaire (afin d’éviter le type de message qui est maintenant bien connu comme systématiquement associé à des ransomwares).

En autorisant les Macros, vous effectuer une démarche similaire à celle consistant à ouvrir le fichier JavaScript ci-dessus : le script VBA télécharge le ransomware sous la forme d’un fichier (programme Windows) .EXE, et le lance.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Les produits Sophos détectent et bloquent ces vecteurs d’attaques sous une variété de noms, incluant notamment : Mal/DrodZp-A (une archive ZIP en pièce jointe), Troj/JSDldr-LU (des downloaders JavaScript  intégrés dans un fichier ZIP), Troj/DocDl-DUN (un document Word avec Macros dans une pièce jointe), Mal/Ransom-EM et Troj/Ransom-DJF (les fichiers .EXE du ransomware lui-même).

[/vc_message][/vc_column][/vc_row]

Le moment de payer

Tout comme Locky, Zepto commence par effectuer un “call home” vers un serveur web contrôlé par les cybercriminels, à partir duquel il télécharge une clé de chiffrement pour chiffrer vos données.

Les cybercriminels en question conservent alors la clé de chiffrement correspondante avec eux, qui se trouvera justement être cette même clé qu’ils vous offriront d’acheter plus tard (voir ci-dessous, où le prix demandé s’élève à BTC 0.5, soit à peu près à l’heure actuelle 300$).

Vos données se retrouvent à la fois chiffrées et renommées, de telle manière à ce que les fichiers chiffrés au final ressembleront à ceci :

FA3D5195-3FE9-1DBC-E35E-89380D21F515.zepto

FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto

FA3D5195-3FE9-1DBC-1683-7BF4FD77911D.zepto

FA3D5195-3FE9-1DBC-30B9-E2FF891CDB11.zepto

La première moitié de chaque nom est la même pour tous les fichiers, et est un identifiant unique qui indique aux cybercriminels “qui vous êtes” si vous décidez de payer afin de récupérer vos données.

Après le chiffrement de vos données, Zepto vous présente le message expliquant “comment payer”, afin de s’assurer que vous pouvez récupérer vos fichiers, moyennent le paiement d’une certaine somme.

Le message apparaît de 3 manières différentes : en se substituant à votre fond d’écran, au sein d’une image qui s’ouvre avec le Windows Photo Viewer, et comme une page HTML qui s’enregistre dans chaque répertoire où des fichiers ont été chiffrés.

L’ID d’identification personnelle dans le message “comment payer” est le même que la première moitié des noms des fichiers chiffrés.

En suivant les instructions dans _HELP_instructions.html, vous arriverez à la “page de paiement”, affichée au début de l’article.

Quoi faire ?

Nous vous mettons en garde régulièrement sur la manière d’empêcher (et de se remettre) de telles attaques menées par des ransomwares et autres nuisibles.

Voici ci-dessous quelques liens que nous pensons être utiles pour vous :


//
Partagez Le ransomware Zepto : un nouveau Locky ? avec : http://wp.me/p2YJS1-2Mw
Billet inspiré de Is Zepto ransomware the new Locky? par Paul Ducklin, Sophos nakedsecurity.

Exit mobile version