Des chercheurs ont découvert le premier ransomware écrit en Go
Et ont repéré une faille dans son mécanisme de chiffrement

Le , par Stéphane le calme, Chroniqueur Actualités
Si le langage Go de Google gagne en popularité comme l’indique des baromètres à l’instar de l’index Tiobe où il est monté à la 16e place du classement,

C’est le spécialiste en sécurité Dr. Web qui a mis le doigt sur une première variante de ransomware écrite en Go. Le logiciel malveillant, identifié sous le nom générique Trojan.Encoder.6491, se propage via un fichier nommé Windows_Security.exe, probablement dans le but de se faire passer pour une mise à jour de sécurité Windows juste après le traditionnel Patch Tuesday.

Avant de se déployer, il procède comme suit :
  1. il détermine le nom son fichier d’exécution et voir s’il correspond à “Windows_Security.exe”. Si c’est le cas, il passe directement à l’étape 6 ;
  2. il supprime le fichier %APPDATA%\Windows_Update ;
  3. il crée le fichier %APPDATA%\Windows_Update ,
  4. il se copie dans le fichier %APPDATA%\Windows_Update sous le nom Windows_Security.exe ;
  5. il supprime le fichier exécutable d’origine et exécuter %APPDATA%\Windows_Update\Windows_Security.exe, ce qui va marquer la fin du processus source ;
  6. si le fichier depuis lequel le cheval de Troie a été lancé n’est pas nommé Windows_Update, le logiciel arrête l’installation ;
  7. le logiciel exécute la commande
    REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V Windows-Defender /t REG_SZ /F /D %APPDATA%\Windows_Update\Windows_Security.exe
  8. le logiciel exécute les commandes suivantes (les chaînes de caractères sont chiffrées avec Base64)
    Code : Sélectionner tout
    1
    2
    attrib +H +S %APPDATA%\\Windows_Update\\ 
    attrib +H +S %APPDATA%\\Windows_Update\\Windows_Security.exe
  9. il se copie sous le nom %TEMP%\\Windows_Security.exe dans les fichiers temporaires et s’arrête (l'installation est terminée).

Trojan.Encoder.6491 utilise un système de chiffrement qui repose sur l'algorithme AES. Vous pouvez le repérer par la façon dont il renomme les fichiers après les avoir chiffrés. Par exemple, le ransomware prend un fichier nommé photo.png et encode son nom en utilisant l'algorithme Base64, fichier auquel il ajoute le nom d’extension ENC comme ceci : cGhvdG8 = .enc.

La bonne nouvelle c’est que les chercheurs de Dr.Web ont repéré des failles dans le mécanisme de chiffrement du ransomware et ont été en mesure de développer un outil pour déchiffrer les fichiers. La mauvaise nouvelle c’est que cet outil n’a été mis à la disposition que des utilisateurs payants de la solution antivirus. Ironiquement, la rançon et les frais de licence de Dr Web oscillent tous les deux autour de 30 dollars.

Source : Dr Web

TIOBE : Le langage de programmation Go de Google gagne en popularité, favorisé par la popularisation de Docker

Les ransomwares pourraient causer un milliard de dollars de dommages aux entreprises en 2016 selon une étude


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de vanskjære vanskjære - Membre actif https://www.developpez.com
le 13/10/2016 à 14:42
Citation Envoyé par Stéphane le calme  Voir le message
La bonne nouvelle c’est que les chercheurs de Dr.Web ont repéré des failles dans le mécanisme de chiffrement du ransomware et ont été en mesure de développer un outil pour déchiffrer les fichiers. La mauvaise nouvelle c’est que cet outil n’a été mis à la disposition que des utilisateurs payants de la solution antivirus. Ironiquement, la rançon et les frais de licence de Dr Web sont oscillent tous les deux autour de 30 dollars.

[Trolldi en avance]
Si un adepte des théories des complots passe ici, pas de doute qu'il y verra plus qu'un simple hasard.
Sans doute aussi une intervention d'un état étranger etc...
Avatar de SergeFo SergeFo - Membre à l'essai https://www.developpez.com
le 13/10/2016 à 15:53
@vanskjære

Question philosophique :"Est-ce que rejeter l'idée qu'on puisse y voir plus qu'un simple hasard ne serait pas une forme de trollage disons 'plus politiquement correct' ?"
Avatar de Xjames56X Xjames56X - Nouveau membre du Club https://www.developpez.com
le 13/10/2016 à 23:18
Bonjour, sans parler de virus j"aimerais doter l'un de mes programmes de mise à jour "autonomes". Une fois que j'ai télécharger l'executable à jour, j'aimerais le lancer à la place de l'ancien et supprimer l'ancien... Une.idée ? D'avance merci
Avatar de Shuty Shuty - Membre éprouvé https://www.developpez.com
le 14/10/2016 à 14:13
Après le premier bébé en JS, c'est au tour du Go... Je vous propose que demain ce soit un rasomware en P / R ? Qui dit mieux ?
Offres d'emploi IT
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil