Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le ransomware Linux.Encoder.1 peut être neutralisé
Grâce à un script de Bitdefender

Le , par saigone

41PARTAGES

5  0 
La société de sécurité Doctor Web indiquait récemment que des milliers de sites avaient été infectés par le ransomware Linux.Encoder.1, une semaine environ après la découverte de la première attaque comme illustré dans cet article. Les cibles devaient donc payer une rançon au ravisseur pour la récupération des données. Pour rappel un ransomware est un logiciel malveillant qui effectue une « prise d’otages » de vos données en les chiffrant grâce à une clé de chiffrement AES générée aléatoirement. La force de cette attaque réside dans le fait que la clé de chiffrement symétrique créée grâce à l’algorithme de chiffrement symétrique (AES) est ensuite chiffrée grâce à l’algorithme de chiffrement asymétrique (RSA) ; ce qui rend quasiment impossible la récupération de données sans la clé privée RSA détenue par les attaquants.

Coup de chance ou amateurisme du ravisseur : les chercheurs de la société de sécurité logicielle Bitdefender ont décelé une erreur dans le ransomware après avoir étudié de près le logiciel malveillant. Cette erreur leur a permis de déchiffrer les dossiers victimes de chiffrement sans avoir besoin de la clé privée RSA nécessaire pour le déchiffrement. Lors de l’attaque, la clé AES est générée localement sur la machine attaquée. Ils ont donc examiné la façon dont la clé et le vecteur d’initialisation étaient générés par reverse-engineering de l'échantillon Linux.Encoder.1. Ils ont réalisé qu’au lieu de générer des clés aléatoires sécurisées et le vecteur d’initialisation, le ransomware récupérait ces deux éléments d'information de la fonction rand libc () propagés avec l'horodatage du système au moment du cryptage. Cette information peut être facilement récupérée en regardant le fichier d’horodatage. Ceci est un énorme défaut de conception qui permet la récupération de la clé AES sans avoir à décrypter avec la clé privée RSA, a souligné l’équipe de recherche de Bitdefender.

L’équipe de Bitdefender a mis à disposition de toutes les victimes un outil qui permet de déchiffrer leurs données par simple analyse et par la même occasion résoudre le problème de permission. Il suggère de redémarrer la machine victime et, après avoir téléchargé l’outil, l’exécuter en mode root. Ci-dessous les étapes pour récupérer les données :

  • télécharger le script (outil) sur le site LAB de Bitdefender ;

  • monter la partition et chiffrer en utilisant la commande : mount /dev/[partition_chiffrée] ;

  • générer une liste de fichiers chiffrés à l’aide de la précédente commande : /mnt# sort_files.sh encrypted_partition > sorted_list ;

  • exécuter l’outil de déchiffrement afin d’obtenir les informations de chiffrement : /mnt# python decrypter.py –f [premier_fichier] ;

  • déchiffrer les fichiers à l’aide des informations obtenues : /mnt# python /tmp/new/decrypter.py -s [timestamp] -l sorted_list.


Tenant compte de la complexité de la procédure, Bitdefender a mis à disposition des victimes un service d’assistance pour tout besoin d’aide. Au vu de la recrudescence des attaques via un ransomware, il est important de redoubler de vigilance.

Source: Lab Bitdefender, Lien Script Bitdefender

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !