Satana, le ransomware qui empêche le démarrage de Windows,
Serait particulièrement plus complexe que ses prédécesseurs

Le , par Coriolan

20PARTAGES

7  0 
Ces derniers temps, l'évolution des ransomwares a souvent fait l'actualité de la presse spécialisée. Depuis la fin 2015 jusqu’en début d’année 2016, les attaques aux ransomwares ont fait plusieurs victimes parmi lesquelles figurent des hôpitaux, des systèmes de traitement d’eau pour ne citer que ceux-là. Le ransomware peut prendre en otage des données personnelles en les chiffrant puis en demandant à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Il peut également bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent.

Et c’est justement ce que fait une nouvelle génération de ransomwares découverte par Malewarebytes ces dernières semaines. Elle combine le chiffrement de fichiers et écriture de code sur le secteur d’amorçage du disque, le MBR, pour mettre à mal les fichiers de ses victimes. « Satana fonctionne en deux modes, note la société de sécurité sur son blog. Le premier se comporte comme Petya, un fichier exécutable (sous Windows, NDLR) [et] écrit au début du disque infecté un module de bas niveau, un bootloader avec un noyau personnalisé. Le deuxième mode se comporte comme un ransomware typique et chiffre les fichiers un par un (tout comme Mischa). »


Bien que fonctionnel, Satana (Satan en italien et roumain) est encore en développement selon les chercheurs de Malwarebytes. Il a été inspiré d’autres ransomwares précédents, ainsi il est le deuxième ransomware après Petya qui affecte le Master Boot Record (MBR), empêchant les machines Windows de démarrer. Le Master Boot Record est le nom donné au premier secteur adressable d'un disque dur dans le cadre d'un partitionnement Intel. Sa taille est de 512 octets. Le MBR contient la table des partitions du disque dur. Il contient également une routine d'amorçage dont le but est de charger le système d'exploitation, ou le chargeur d'amorçage (boot loader) s'il existe, présent sur la partition active. Sans MBR, les machines ne savent pas sur quelle partition se trouve le système d’exploitation à charger et de ce fait, elles sont incapables de démarrer.

Petya a été le premier ransomware à changer le Master Boot Record (MBR) pour lancer un bootloader custom qui se charge de chiffrer la Master File Table (MFT). Le but étant d’empêcher le système d'exploitation de démarrer tant qu'il n'a pas été réparé. La MFT est l'un des composants du système de fichiers de NTFS de Microsoft. Il contient la liste de tous les fichiers stockés sur le disque. Satana suit une autre route, il ne recourt pas au chiffrement du MFT, mais remplace le MBR avec son propre code et enregistre une copie chiffrée pour la restaurer lorsque la victime paye la rançon aux pirates. Cette manœuvre laisse la machine dans l’incapacité de booter, mais elle peut être réparée plus facilement que si le MFT a été chiffré.

Durant mai dernier, Petya a été combiné à un ransomware différent au nom de Mischa, qui est beaucoup plus traditionnel. Il s’attaque aux données des utilisateurs et les fait chiffrer directement s’il n’arrive pas à obtenir des droits d’administrateur pour attaquer le MBR et le MFT. Satana combine les deux méthodes, une fois le MBR remplacé, il s’attaque au chiffrement des fichiers sur le disque et attend patiemment le redémarrage du système. Une fois fait, il affiche à l’utilisateur les directives à suivre pour récupérer l’accès à son PC, à savoir le paiement d’une rançon de 0,5 bitcoin (environ 340 dollars).

Même si l’utilisateur arrive à réparer le MBR à l’aide des options de restauration de Windows, qui nécessitent des manipulations avec l’invite de commandes et le fichier bootrec.exe (ce qui est loin d’être à la portée de tout le monde). Même en arrivant à cela, l’utilisateur se trouvera face à des fichiers chiffrés sur le disque. Les méthodes de chiffrement employées par le ransomware semblent assez robustes pour rendre les fichiers piégés définitivement irrécupérables. Les chercheurs de Malwarebytes ont remarqué un bogue particulièrement gênant, qui pourrait entraîner la perte des données à jamais, même en cas de paiement de la rançon. En effet, durant le processus de chiffrement/déchiffrement des fichiers, toute déconnexion du serveur de commandes et contrôle (C&C) entraîne la perte de la clé de déchiffrement. « Même les victimes qui paient peuvent ne pas récupérer leurs fichiers si elles (ou le C&C) sont hors ligne lorsque le chiffrement arrive », prévient la société de sécurité.

La version actuelle de Satana est loin d’être parfaite et de ce fait elle n’est pas largement répandue. Cependant, les chercheurs estiment qu'elle va servir de base pour l’introduction d’améliorations qui aideront à rendre le ransomware beaucoup plus performant. « Le code d’attaque de bas niveau semble inachevé – mais les auteurs montrent un intérêt dans le développement du produit dans ce sens et nous pouvons nous attendre à ce que la prochaine version soit améliorée », écrit le chercheur.

Source : Malwarebytes

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Les ransomwares continuent d'évoluer : Cerber se dote d'une fonctionnalité, pour créer des versions différentes de lui-même toutes les 15 secondes
EduCrypt : un ransomware qui apprend une leçon sur la sécurité informatique et fournit une clé de déchiffrement sans demander de rançon
Microsoft lance l'alerte sur une nouvelle variante de ransomware baptisée Zcryptor dotée d'une capacité d'autopropagation

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Omote
Membre averti https://www.developpez.com
Le 05/07/2016 à 13:08
Les chercheurs de Malwarebytes ont remarqué un bug particulièrement gênant, qui pourrait entraîner la perte des données à jamais, même en cas de paiement de la rançon.
C'est une véritable honte! Qu'est-ce qu'ils attendent pour faire une mise à jour!? Si au moins c'était open source... En tout cas, je ne le téléchargerai pas sur mon poste tant que cela ne sera pas réglé!

A bon entendeur, salut!
5  0 
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 05/07/2016 à 13:03
Si je suis infecté je répondrais : "désolé mais je n'ai pas pour habitude de payer pour des logiciels en cours de développement"
L'article de Malwarebytes est super intéressant btw.
4  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 05/07/2016 à 22:10
Rassurez-vous, le secureboot empêchera cela .

Bien évidemment non.

Plus sérieusement, l'article parle de MBR ce qui signifie l'utilisation de UEFI et non pas de BIOS (à moins de boot en legacy).

Il y a une solution efficace à ce problème : les sauvegardes, et offline (pas accessible via le réseau par exemple).
1  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 09/07/2016 à 10:01
La ou je travail c'est comme cela mais evidement cela demande beaucoup d'argent donc accessible en general aux grosses societes.
Pas forcément, tu alternes une sauvegarde locale sur plusieurs disques à quelques jours d’intervalle. Facile et peu couteux.

on fait appel a ces personnes extremement fortes en archithecture et prog bas niveau pour y parvenir mais du mauvais cote
corrompre le MBR, ça existait déjà il y a des années. Mon projet d'examen d'il y a 20 ans a été la réalisation d'une carte antivirus qui copiait les premiers secteurs du disque sur une carte branchée sur le port parallèle, détournement de l'int 0x13 à l'époque.
1  0 
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 05/07/2016 à 13:25
Citation Envoyé par Omote Voir le message
C'est une véritable honte! Qu'est-ce qu'ils attendent pour faire une mise à jour!? Si au moins c'était open source... En tout cas, je ne le téléchargerai pas sur mon poste tant que cela ne sera pas réglé!

A bon entendeur, salut!
0  0 
Avatar de danyclassique
Membre du Club https://www.developpez.com
Le 09/07/2016 à 7:18
Bonjour a tous .
Oui effectivement, le offline et la sauvegarde sont tres efficaces voir meme postes separes:
un pour local reseau et l'autre pour internet .
La ou je travail c'est comme cela mais evidement cela demande beaucoup d'argent donc accessible en general aux grosses societes.
Alors je pense qu'au lieu de faire appel a des chercheurs apres l'attaque (pour savoir quoi chercher),peut etre serait il mieux avant et donc faire appel a des chercheurs ingenieurs dotes d'un savoir imaginatif plutot que sequentiel.
Eux ,satana ,on fait appel a ces personnes extremement fortes en archithecture et prog bas niveau pour y parvenir mais du mauvais cote
0  0 
Avatar de Orouni
Candidat au Club https://www.developpez.com
Le 17/08/2016 à 20:48
TrendMicro outil publié qui peut décrypter V1 Cerber Ransomware (http://esupport.trendmicro.com/solution/en-us/1114221.aspx). Vous pouvez également utiliser ShadowExplorer et ce guide
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web