CryptoDefense, le ransomware qui laisse une chance à sa victime,
Une faiblesse dans l'implémentation permet de ne pas payer de rançon
Le 2014-04-03 13:55:21, par Arsene Newman, Expert éminent sénior
L’une des tendances actuelles des malwares proliférant sur le net est la mode des ransomwares. Ce sont des programmes capables de prendre en otage des données personnelles qui ne seront débloquées qu’après payement d’une rançon par la victime. Les ransomwares sont basés sur des algorithmes de chiffrement.
Symantec a suivi de près l’un d’entre eux au cours des derniers mois et vient de faire une découverte inattendue. Il s’agit vraisemblablement du ransomware Trojan.Cryptodefense.
Ce ransomware repose sur l’utilisation de la PKI de Microsoft et des API Windows pour générer les clés publiques et privées, respectivement utilisées pour le chiffrement des données (leur prise en otage) ainsi que pour leur déchiffrement suite au payement de la rançon. L’algorithme utilisé est le RSA dans sa version 2048 bits. La génération des deux clés se fait via la machine de la victime et la clé privée est renvoyée au serveur des attaquants.
Toutefois, Symantec révèle ce qui suit. « A cause d'une faiblesse dans l’implémentation de la fonctionnalité cryptographique, les attaquants ont laissé à leurs otages les clés pour s’extirper de cette situation. » En effet, les attaquants ont omis un fait important : supprimer la clé privée de la machine de la victime. Une copie existe dans le répertoire Application Data.
Ainsi, une personne avisée peut utiliser la clé privée disponible sur la machine de la victime pour le déchiffrement. Néanmoins, cela est rarement le cas, les victimes préfèrent alors payer la somme demandée (500 $ ou 500 €) dans les 4 jours suivants.
CryptoDefense a vu le jour en février 2014 et a rapidement fait plusieurs victimes à travers 100 pays, principalement aux USA, Royaume-Uni, Canada, Australie, Japon, Inde, Italie et Pays-Bas. Symantec a été en mesure de bloquer plus de 11.000 infections et estime à 34.000 $ la valeur des seuls bitcoins perçus par son auteur.
Source : annonce de Symantec
Et vous ?
Symantec a suivi de près l’un d’entre eux au cours des derniers mois et vient de faire une découverte inattendue. Il s’agit vraisemblablement du ransomware Trojan.Cryptodefense.
Ce ransomware repose sur l’utilisation de la PKI de Microsoft et des API Windows pour générer les clés publiques et privées, respectivement utilisées pour le chiffrement des données (leur prise en otage) ainsi que pour leur déchiffrement suite au payement de la rançon. L’algorithme utilisé est le RSA dans sa version 2048 bits. La génération des deux clés se fait via la machine de la victime et la clé privée est renvoyée au serveur des attaquants.
Toutefois, Symantec révèle ce qui suit. « A cause d'une faiblesse dans l’implémentation de la fonctionnalité cryptographique, les attaquants ont laissé à leurs otages les clés pour s’extirper de cette situation. » En effet, les attaquants ont omis un fait important : supprimer la clé privée de la machine de la victime. Une copie existe dans le répertoire Application Data.
Ainsi, une personne avisée peut utiliser la clé privée disponible sur la machine de la victime pour le déchiffrement. Néanmoins, cela est rarement le cas, les victimes préfèrent alors payer la somme demandée (500 $ ou 500 €) dans les 4 jours suivants.
CryptoDefense a vu le jour en février 2014 et a rapidement fait plusieurs victimes à travers 100 pays, principalement aux USA, Royaume-Uni, Canada, Australie, Japon, Inde, Italie et Pays-Bas. Symantec a été en mesure de bloquer plus de 11.000 infections et estime à 34.000 $ la valeur des seuls bitcoins perçus par son auteur.
Source : annonce de Symantec
Et vous ?
-
gangsoleilModérateurle 03/04/2014 à 15:09
-
leminipouceMembre éprouvé??? Quand un oubli génère un comportement inattendu, tu n'appelles pas ça un bug toi ? Si c'est pas une fonctionnalité... c'est un bugle 04/04/2014 à 10:48
-
gangsoleilModérateurResumons :
Le developpeur fait un logiciel qui crypte des fichiers et lui envoie la clef de dechiffrement. Il demande ensuite une rancon pour rendre cette clef, sans quoi les fichiers sont inutilisables. Et il "oublie" une copie de la clef en local sur la machine, ce qui rend tout son programme completement inutile.
Et tu dis que c'est "clairement pas un bug" ? Je vais pas dire qu'il y en a qui se sont fait virer pour moins que ca, mais je sais que si je faisais le meme genre de connerie dans un logiciel, mon chef ne tarderait pas a me tomber dessus lourdement.le 04/04/2014 à 13:54 -
benjani13Membre extrêmement actifCe que voulaient dire Shuty et TiranusKBX est que ce n'est pas un bug au sens core dump, résultat inattendu, etc. C'est comme si tu inscrivait la clé en brut dans le code du malware, ce ne serait pas un bug mais une grosse bêtise
En tout cas l'article m'a fait sourire.
Peacele 04/04/2014 à 16:16 -
guillaumdCandidat au Clubla principal faille et toujours entre le clavier et le fauteuil.
c'est vrais aussi pour les fauteuils de pirate ^^
dommage que la plupart des gens vont avoir tellement peur qu'il vont payer avant de cherche une autre solution.le 07/04/2014 à 18:48 -
thierry.pericardMembre du ClubCe n'est clairement pas un bug cet oubli. Le ransomware en question fonctionne.
Par contre, il est totalement inutile de part cet oublile 07/04/2014 à 20:39 -
benjani13Membre extrêmement actifJe me demande si cet oubli ne pourrait pas être intégré aux base de données des antivirus? Genre si l'antivirus détecte le ransomware, il pourrait trouver dans sa base de donnée la méthode pour le virer proprement.le 08/04/2014 à 10:41
-
ShutyMembre éprouvéUn bug non, mais surement un oubli...le 04/04/2014 à 10:21
-
TiranusKBXExpert confirméarretez ce n'est clairement pas un bug c'est juste que le créateur n'à pas pensé à ce problème qui grâce à symantec est au courant et la prochaine version corrigeras cet oublisle 04/04/2014 à 12:26