Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CryptoDefense, le ransomware qui laisse une chance à sa victime,
Une faiblesse dans l'implémentation permet de ne pas payer de rançon

Le , par Arsene Newman

0PARTAGES

2  1 
L’une des tendances actuelles des malwares proliférant sur le net est la mode des ransomwares. Ce sont des programmes capables de prendre en otage des données personnelles qui ne seront débloquées qu’après payement d’une rançon par la victime. Les ransomwares sont basés sur des algorithmes de chiffrement.

Symantec a suivi de près l’un d’entre eux au cours des derniers mois et vient de faire une découverte inattendue. Il s’agit vraisemblablement du ransomware Trojan.Cryptodefense.

Ce ransomware repose sur l’utilisation de la PKI de Microsoft et des API Windows pour générer les clés publiques et privées, respectivement utilisées pour le chiffrement des données (leur prise en otage) ainsi que pour leur déchiffrement suite au payement de la rançon. L’algorithme utilisé est le RSA dans sa version 2048 bits. La génération des deux clés se fait via la machine de la victime et la clé privée est renvoyée au serveur des attaquants.

Toutefois, Symantec révèle ce qui suit. « A cause d'une faiblesse dans l’implémentation de la fonctionnalité cryptographique, les attaquants ont laissé à leurs otages les clés pour s’extirper de cette situation. » En effet, les attaquants ont omis un fait important : supprimer la clé privée de la machine de la victime. Une copie existe dans le répertoire Application Data.

Ainsi, une personne avisée peut utiliser la clé privée disponible sur la machine de la victime pour le déchiffrement. Néanmoins, cela est rarement le cas, les victimes préfèrent alors payer la somme demandée (500 $ ou 500 €) dans les 4 jours suivants.

CryptoDefense a vu le jour en février 2014 et a rapidement fait plusieurs victimes à travers 100 pays, principalement aux USA, Royaume-Uni, Canada, Australie, Japon, Inde, Italie et Pays-Bas. Symantec a été en mesure de bloquer plus de 11.000 infections et estime à 34.000 $ la valeur des seuls bitcoins perçus par son auteur.

Source : annonce de Symantec

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 03/04/2014 à 15:09
Citation Envoyé par Arsene Newman Voir le message
les attaquants ont omis un fait important : supprimer la clé privée de la machine de la victime. Une copie existe dans le répertoire Application Data.

Qu’en pensez-vous ?
Il y a des bugs dans chaque logiciel, meme dans les malware
8  0 
Avatar de leminipouce
Membre éprouvé https://www.developpez.com
Le 04/04/2014 à 10:48
Citation Envoyé par Shuty Voir le message
Un bug non, mais surement un oubli...
??? Quand un oubli génère un comportement inattendu, tu n'appelles pas ça un bug toi ? Si c'est pas une fonctionnalité... c'est un bug
9  2 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 04/04/2014 à 13:54
Citation Envoyé par TiranusKBX Voir le message
arretez ce n'est clairement pas un bug c'est juste que le créateur n'à pas pensé à ce problème
Resumons :
Le developpeur fait un logiciel qui crypte des fichiers et lui envoie la clef de dechiffrement. Il demande ensuite une rancon pour rendre cette clef, sans quoi les fichiers sont inutilisables. Et il "oublie" une copie de la clef en local sur la machine, ce qui rend tout son programme completement inutile.

Et tu dis que c'est "clairement pas un bug" ? Je vais pas dire qu'il y en a qui se sont fait virer pour moins que ca, mais je sais que si je faisais le meme genre de connerie dans un logiciel, mon chef ne tarderait pas a me tomber dessus lourdement.
2  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 04/04/2014 à 16:16
Citation Envoyé par gangsoleil Voir le message
Résumons :
Le développeur fait un logiciel qui crypte des fichiers et lui envoie la clef de déchiffrement. Il demande ensuite une rançon pour rendre cette clef, sans quoi les fichiers sont inutilisables. Et il "oublie" une copie de la clef en local sur la machine, ce qui rend tout son programme complétement inutile.

Et tu dis que c'est "clairement pas un bug" ? Je vais pas dire qu'il y en a qui se sont fait virer pour moins que ca, mais je sais que si je faisais le même genre de connerie dans un logiciel, mon chef ne tarderait pas a me tomber dessus lourdement.
Ce que voulaient dire Shuty et TiranusKBX est que ce n'est pas un bug au sens core dump, résultat inattendu, etc. C'est comme si tu inscrivait la clé en brut dans le code du malware, ce ne serait pas un bug mais une grosse bêtise

En tout cas l'article m'a fait sourire.

Peace

Citation Envoyé par leminipouce Voir le message
??? Quand un oubli génère un comportement inattendu, tu n'appelles pas ça un bug toi ? Si c'est pas une fonctionnalité... c'est un bug


3  1 
Avatar de guillaumd
Candidat au Club https://www.developpez.com
Le 07/04/2014 à 18:48
la principal faille et toujours entre le clavier et le fauteuil.
c'est vrais aussi pour les fauteuils de pirate ^^

dommage que la plupart des gens vont avoir tellement peur qu'il vont payer avant de cherche une autre solution.
0  0 
Avatar de thierry.pericard
Membre du Club https://www.developpez.com
Le 07/04/2014 à 20:39
Ce n'est clairement pas un bug cet oubli. Le ransomware en question fonctionne.
Par contre, il est totalement inutile de part cet oubli
0  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 08/04/2014 à 10:41
Citation Envoyé par guillaumd Voir le message
la principal faille et toujours entre le clavier et le fauteuil.
c'est vrais aussi pour les fauteuils de pirate ^^

dommage que la plupart des gens vont avoir tellement peur qu'il vont payer avant de cherche une autre solution.
Je me demande si cet oubli ne pourrait pas être intégré aux base de données des antivirus? Genre si l'antivirus détecte le ransomware, il pourrait trouver dans sa base de donnée la méthode pour le virer proprement.
0  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 04/04/2014 à 10:21
Un bug non, mais surement un oubli...
1  3 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 04/04/2014 à 12:26
arretez ce n'est clairement pas un bug c'est juste que le créateur n'à pas pensé à ce problème qui grâce à symantec est au courant et la prochaine version corrigeras cet oublis
1  5