Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

CryptoDefense, le ransomware qui laisse une chance à sa victime,
Une faiblesse dans l'implémentation permet de ne pas payer de rançon

Le , par Arsene Newman, Expert éminent sénior
L’une des tendances actuelles des malwares proliférant sur le net est la mode des ransomwares. Ce sont des programmes capables de prendre en otage des données personnelles qui ne seront débloquées qu’après payement d’une rançon par la victime. Les ransomwares sont basés sur des algorithmes de chiffrement.

Symantec a suivi de près l’un d’entre eux au cours des derniers mois et vient de faire une découverte inattendue. Il s’agit vraisemblablement du ransomware Trojan.Cryptodefense.

Ce ransomware repose sur l’utilisation de la PKI de Microsoft et des API Windows pour générer les clés publiques et privées, respectivement utilisées pour le chiffrement des données (leur prise en otage) ainsi que pour leur déchiffrement suite au payement de la rançon. L’algorithme utilisé est le RSA dans sa version 2048 bits. La génération des deux clés se fait via la machine de la victime et la clé privée est renvoyée au serveur des attaquants.

Toutefois, Symantec révèle ce qui suit. « A cause d'une faiblesse dans l’implémentation de la fonctionnalité cryptographique, les attaquants ont laissé à leurs otages les clés pour s’extirper de cette situation. » En effet, les attaquants ont omis un fait important : supprimer la clé privée de la machine de la victime. Une copie existe dans le répertoire Application Data.

Ainsi, une personne avisée peut utiliser la clé privée disponible sur la machine de la victime pour le déchiffrement. Néanmoins, cela est rarement le cas, les victimes préfèrent alors payer la somme demandée (500 $ ou 500 €) dans les 4 jours suivants.

CryptoDefense a vu le jour en février 2014 et a rapidement fait plusieurs victimes à travers 100 pays, principalement aux USA, Royaume-Uni, Canada, Australie, Japon, Inde, Italie et Pays-Bas. Symantec a été en mesure de bloquer plus de 11.000 infections et estime à 34.000 $ la valeur des seuls bitcoins perçus par son auteur.

Source : annonce de Symantec

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de gangsoleil gangsoleil - Modérateur http://www.developpez.com
le 03/04/2014 à 15:09
Citation Envoyé par Arsene Newman  Voir le message
les attaquants ont omis un fait important : supprimer la clé privée de la machine de la victime. Une copie existe dans le répertoire Application Data.

Qu’en pensez-vous ?

Il y a des bugs dans chaque logiciel, meme dans les malware
Avatar de Shuty Shuty - Membre éprouvé http://www.developpez.com
le 04/04/2014 à 10:21
Un bug non, mais surement un oubli...
Avatar de leminipouce leminipouce - Membre éprouvé http://www.developpez.com
le 04/04/2014 à 10:48
Citation Envoyé par Shuty  Voir le message
Un bug non, mais surement un oubli...

??? Quand un oubli génère un comportement inattendu, tu n'appelles pas ça un bug toi ? Si c'est pas une fonctionnalité... c'est un bug
Avatar de TiranusKBX TiranusKBX - Membre expert http://www.developpez.com
le 04/04/2014 à 12:26
arretez ce n'est clairement pas un bug c'est juste que le créateur n'à pas pensé à ce problème qui grâce à symantec est au courant et la prochaine version corrigeras cet oublis
Avatar de gangsoleil gangsoleil - Modérateur http://www.developpez.com
le 04/04/2014 à 13:54
Citation Envoyé par TiranusKBX  Voir le message
arretez ce n'est clairement pas un bug c'est juste que le créateur n'à pas pensé à ce problème

Resumons :
Le developpeur fait un logiciel qui crypte des fichiers et lui envoie la clef de dechiffrement. Il demande ensuite une rancon pour rendre cette clef, sans quoi les fichiers sont inutilisables. Et il "oublie" une copie de la clef en local sur la machine, ce qui rend tout son programme completement inutile.

Et tu dis que c'est "clairement pas un bug" ? Je vais pas dire qu'il y en a qui se sont fait virer pour moins que ca, mais je sais que si je faisais le meme genre de connerie dans un logiciel, mon chef ne tarderait pas a me tomber dessus lourdement.
Avatar de benjani13 benjani13 - Membre expérimenté http://www.developpez.com
le 04/04/2014 à 16:16
Citation Envoyé par gangsoleil  Voir le message
Résumons :
Le développeur fait un logiciel qui crypte des fichiers et lui envoie la clef de déchiffrement. Il demande ensuite une rançon pour rendre cette clef, sans quoi les fichiers sont inutilisables. Et il "oublie" une copie de la clef en local sur la machine, ce qui rend tout son programme complétement inutile.

Et tu dis que c'est "clairement pas un bug" ? Je vais pas dire qu'il y en a qui se sont fait virer pour moins que ca, mais je sais que si je faisais le même genre de connerie dans un logiciel, mon chef ne tarderait pas a me tomber dessus lourdement.

Ce que voulaient dire Shuty et TiranusKBX est que ce n'est pas un bug au sens core dump, résultat inattendu, etc. C'est comme si tu inscrivait la clé en brut dans le code du malware, ce ne serait pas un bug mais une grosse bêtise

En tout cas l'article m'a fait sourire.

Peace

Citation Envoyé par leminipouce  Voir le message
??? Quand un oubli génère un comportement inattendu, tu n'appelles pas ça un bug toi ? Si c'est pas une fonctionnalité... c'est un bug



Avatar de guillaumd guillaumd - Candidat au Club http://www.developpez.com
le 07/04/2014 à 18:48
la principal faille et toujours entre le clavier et le fauteuil.
c'est vrais aussi pour les fauteuils de pirate ^^

dommage que la plupart des gens vont avoir tellement peur qu'il vont payer avant de cherche une autre solution.
Avatar de thierry.pericard thierry.pericard - Membre du Club http://www.developpez.com
le 07/04/2014 à 20:39
Ce n'est clairement pas un bug cet oubli. Le ransomware en question fonctionne.
Par contre, il est totalement inutile de part cet oubli
Avatar de benjani13 benjani13 - Membre expérimenté http://www.developpez.com
le 08/04/2014 à 10:41
Citation Envoyé par guillaumd  Voir le message
la principal faille et toujours entre le clavier et le fauteuil.
c'est vrais aussi pour les fauteuils de pirate ^^

dommage que la plupart des gens vont avoir tellement peur qu'il vont payer avant de cherche une autre solution.

Je me demande si cet oubli ne pourrait pas être intégré aux base de données des antivirus? Genre si l'antivirus détecte le ransomware, il pourrait trouver dans sa base de donnée la méthode pour le virer proprement.
Offres d'emploi IT
Sécurité des systèmes d'information / risques opérationnels (H/F)
DEXIA CREDIT LOCAL - Ile de France - Paris (75000)
Développeur windev
Agence J4S - Picardie - Amiens (80000)
Architecte technique généraliste H/F - Nord
Cegedim Outsourcing - Ile de France - Lille (59000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil