IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs ont découvert le premier ransomware écrit en Go
Et ont repéré une faille dans son mécanisme de chiffrement

Le , par Stéphane le calme

66PARTAGES

6  0 
Si le langage Go de Google gagne en popularité comme l’indique des baromètres à l’instar de l’index Tiobe où il est monté à la 16e place du classement,

C’est le spécialiste en sécurité Dr. Web qui a mis le doigt sur une première variante de ransomware écrite en Go. Le logiciel malveillant, identifié sous le nom générique Trojan.Encoder.6491, se propage via un fichier nommé Windows_Security.exe, probablement dans le but de se faire passer pour une mise à jour de sécurité Windows juste après le traditionnel Patch Tuesday.

Avant de se déployer, il procède comme suit :
  1. il détermine le nom son fichier d’exécution et voir s’il correspond à “Windows_Security.exe”. Si c’est le cas, il passe directement à l’étape 6 ;
  2. il supprime le fichier %APPDATA%\Windows_Update ;
  3. il crée le fichier %APPDATA%\Windows_Update ,
  4. il se copie dans le fichier %APPDATA%\Windows_Update sous le nom Windows_Security.exe ;
  5. il supprime le fichier exécutable d’origine et exécuter %APPDATA%\Windows_Update\Windows_Security.exe, ce qui va marquer la fin du processus source ;
  6. si le fichier depuis lequel le cheval de Troie a été lancé n’est pas nommé Windows_Update, le logiciel arrête l’installation ;
  7. le logiciel exécute la commande
    REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V Windows-Defender /t REG_SZ /F /D %APPDATA%\Windows_Update\Windows_Security.exe
  8. le logiciel exécute les commandes suivantes (les chaînes de caractères sont chiffrées avec Base64)
    Code : Sélectionner tout
    1
    2
    attrib +H +S %APPDATA%\\Windows_Update\\
    attrib +H +S %APPDATA%\\Windows_Update\\Windows_Security.exe
  9. il se copie sous le nom %TEMP%\\Windows_Security.exe dans les fichiers temporaires et s’arrête (l'installation est terminée).

Trojan.Encoder.6491 utilise un système de chiffrement qui repose sur l'algorithme AES. Vous pouvez le repérer par la façon dont il renomme les fichiers après les avoir chiffrés. Par exemple, le ransomware prend un fichier nommé photo.png et encode son nom en utilisant l'algorithme Base64, fichier auquel il ajoute le nom d’extension ENC comme ceci : cGhvdG8 = .enc.

La bonne nouvelle c’est que les chercheurs de Dr.Web ont repéré des failles dans le mécanisme de chiffrement du ransomware et ont été en mesure de développer un outil pour déchiffrer les fichiers. La mauvaise nouvelle c’est que cet outil n’a été mis à la disposition que des utilisateurs payants de la solution antivirus. Ironiquement, la rançon et les frais de licence de Dr Web oscillent tous les deux autour de 30 dollars.

Source : Dr Web

TIOBE : Le langage de programmation Go de Google gagne en popularité, favorisé par la popularisation de Docker

Les ransomwares pourraient causer un milliard de dollars de dommages aux entreprises en 2016 selon une étude

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Xjames56X
Nouveau membre du Club https://www.developpez.com
Le 13/10/2016 à 23:18
Bonjour, sans parler de virus j"aimerais doter l'un de mes programmes de mise à jour "autonomes". Une fois que j'ai télécharger l'executable à jour, j'aimerais le lancer à la place de l'ancien et supprimer l'ancien... Une.idée ? D'avance merci
0  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 14/10/2016 à 14:13
Après le premier bébé en JS, c'est au tour du Go... Je vous propose que demain ce soit un rasomware en P / R ? Qui dit mieux ?
0  0 
Avatar de vanskjære
Membre averti https://www.developpez.com
Le 13/10/2016 à 14:42
Citation Envoyé par Stéphane le calme Voir le message
La bonne nouvelle c’est que les chercheurs de Dr.Web ont repéré des failles dans le mécanisme de chiffrement du ransomware et ont été en mesure de développer un outil pour déchiffrer les fichiers. La mauvaise nouvelle c’est que cet outil n’a été mis à la disposition que des utilisateurs payants de la solution antivirus. Ironiquement, la rançon et les frais de licence de Dr Web sont oscillent tous les deux autour de 30 dollars.
[Trolldi en avance]
Si un adepte des théories des complots passe ici, pas de doute qu'il y verra plus qu'un simple hasard.
Sans doute aussi une intervention d'un état étranger etc...
0  1 
Avatar de SergeFo
Membre à l'essai https://www.developpez.com
Le 13/10/2016 à 15:53
@vanskjære

Question philosophique :"Est-ce que rejeter l'idée qu'on puisse y voir plus qu'un simple hasard ne serait pas une forme de trollage disons 'plus politiquement correct' ?"
0  1