Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


CryptoDefense (ransomware)

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
02.12.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Nouvelle analyse et diverses mises à jour

CryptoDefense (ransomware)

CryptoDefense (ransomware)

Dossier : Cryptoware - Ransomware

Dossier : Cryptoware - Ransomware

Ransomware (logiciels de demande de rançon)
Cryptowares (logiciels de demande de rançon)
Ingénierie sociale

Synonymes
Virus d'extortion
Cryptovirus d'extorsion
Rançongiciel
Virus Gendarmerie

Cryptowares
Crypto Locker (ou CryptoLocker)
CryptoLocker Copycat (imitations de CryptoLocker)
SynoLocker
PrisonLocker
PowerLocker
CTB Locker (Curve-Tor-Bitcoin Locker ou Critroni)
Locker
CryptorBit
TorrentLocker
CryptoWall
CryptoDefense
Gameover Zeus
KeyBTC
Koler : un ransomware Android
OphionLocker
TeslaCrypt
Alpha Crypt
Rector (déchiffrement possible sans rançon)
Xorast (déchiffrement possible sans rançon)
Hanar (déchiffrement possible sans rançon)
Rakhni (déchiffrement possible sans rançon)
Svpeng (1)

Origine des attaques
Exploitation d'une faille de sécurité
Flash Player pas à jour
Silverlight pas à jour
Acrobat Reader pas à jour
Java pas à jour
ActiveX pas désactivé
Drive-by download
Cheval de Troie
Faux codecs
Publicités trompeuses
Virus PEBCAK

Contre-mesures
Entretien périodique d'un PC
Mise à jour de tous les plugins
Bloquer tous les mécanismes publicitaires
Eviter les téléchargeurs et installeurs piégés
Malwarebytes Anti-Malware (MBAM) Premium
Cryptomonitor
Cryptoprevent Malware Prevention
Versions précédentes des fichiers

Assimilables aux Ransomwares
DDoS (Distributed Denial of Service)

CryptoDefense (ransomware)CryptoDefense (ransomware)CryptoDefense (ransomware)

CryptoDefense est un virus particulièrement dangereux, de la classe des ransomwares (rançongiciels - attaques définitivement bloquantes, souvent irréversibles sauf à payer une rançon au cybercriminel), attaquant les ordinateurs fonctionnant sous le système d'exploitation Windows (toutes versions depuis Windows XP : Windows XP, Windows Vista, Windows 7, Windows 8).

Actif en 2014.

CryptoDefense se présente :

  • Sous la forme d'une prétendue image attachée à un courrier électronique (email), accompagnée de textes rassurants tels que "Scanned Image from a Xerox WorkCentre" ou :

    CryptoDefense (ransomware)

    Please open the attached document.
    This document was digitally sent to you using an HP Digital Sending device.

    -------------------------------------------------------------------------------
    This email has been scanned for viruses and spam.

  • Sous la forme d'un prétendu logiciel gratuit (faux Codecs, faux lecteurs vidéo ou fausses mises à jour de lecteurs video, fausses mises à jour d'une technologie comme Flash ou Java ou SilverLight, etc. ...) utilisant les mécanismes publicitaires pour se propager, l'ingénierie sociale, les drive-by download, etc. ... En particulier, de fausses mises à jour de Flash Player ou d'autres Video Players sont prétendues indispensables pour regarder des video en ligne.

SI l'utilisateur ouvre le fichier venant avec un courrier, ou active le programme téléchargé, CryptoDefense :

  • Se connecte au serveur de C&C (Command and Control) du BotNet du cybercriminel
  • Calcule et envoie sur le serveur de C&C (Command and Control) une clé privée spécifique à l'ordinateur infecté
  • Effectue une copie de l'écran et l'envoie sur le serveur de C&C (Command and Control). Cette copie d'écran se retrouvera sur la page de paiement de la rançon, spécifique à l'ordinateur infecté (pour " rassurer " la victime).
  • Détruit toutes les sauvegardes incrémentielles obtenues par les mécanismes de Windows (VSS - Volume Shadow-Copy Service - Versions précédentes). Seuls les sauvegardes intégrales maintenues périodiquement sur des volumes hors connection pourront être utilisées, si elles existent.
  • Crypte (chiffre) immédiatement tous les fichiers de l'utilisateur (documents texte, audio, video, Microsoft Office, etc. ...), à l'exception des fichiers Windows (afin de permettre à l'utilisateur de se connecter au Web et de payer une rançon), en utilisant un chiffrement RSA 2048.
  • Inscript les fichiers How_Decrypt.txt, How_Decrypt.html et How_Decrypt.url dans chaque dossier dans lequel au moins un fichier a été chiffré. Ces fichiers contiennent les instructions pour décrypter les fichiers. En particulier, on y trouve un lien cliquable vers une page Web spécifique à l'utilisateur qui permet au cybercriminel de délivrer à la victime une clé de décryptage spécifique à lui seul et à la clé privée de cryptage utilisée. L'utilisation du réseau d'anonymisation TOR est obligatoire afin de rendre le paiement de la rançon intraçable. Des instructions pour installer et utiliser TOR sont données.
  • Installe parfois de nombreux adwares ce qui permet au cybercriminel de monétiser l'infection, même si l'utilisateur refuse de payer la rançon.
  • On trouve parfois, simultanément à CryptoDefense, un autre ransomware : CryptoLocker ou CryptorBit.

La rançon est de 500 US$ à payer en utilisant la monaie virtuelle (intraçable) Bitcoin.

CryptoDefense (ransomware)
CryptoDefense (ransomware)

CryptoDefense - SuppressionCryptoDefense - SuppressionCryptoDefense - Suppression

Tous les antivirus qui détectent CryptoDefense sont capables de le supprimer. Toutefois, il faut bien noter que la suppression de CryptoDefense ne restaure pas les fichiers chiffrés.

Le déchifrement (décryptage) des fichiers cryptés est définitivement impossible

En l'état actuel des technologies, un chiffrement par CryptoDefense, utilisant l'algorithme RSA 2048, est irréversible. Seule la clé de déchiffrement correspondante à la clé de chiffrement utilisée permet le déchiffrement, clé qu'il faut payer au cybercriminel (délais de 30 jours après quoi la clé de déchiffrement est détruite et même le cybercriminel ne peut revenir en arrière).

Il n'y a que deux solutions :

  • Repartir des sauvegardes (encore faut-il en avoir fait), en comprenant bien que les points de restauration du système ne gèrent absolument pas les données utilisateurs (sauf à avoir paramétré le mécanisme automatique des " versions précédentes des fichiers ", et encore... il n'existe pas forcément de version précédente de chaque fichier).
  • Payer le cybercriminel et faire le jeu de la cybercriminalité (et ne même pas être certain de recevoir la clé de déchiffrement).

CryptoDefense - DecryptageCryptoDefense - DecryptageCryptoDefense - Decryptage

Si vous avez été infecté avant le 1er avril 2014 et si vous avez conservé vos disques infectés, il y a peut-être une chance de récupérer vos fichiers. Un bug dans certaines variantes de CryptoDefense permet de retrouver la clé de décryptage. Tentez l'utilisation d'Emsisoft Decryptor ( decrypt_cryptodefense.zip ).

CryptoDefense - AnalyseCryptoDefense - AnalyseCryptoDefense - Analyse

Analyse d'une variante de CryptoDefense par le service multiantivirus VirusTotal
Le 02.12.2014
Antivirus Résultat Mise à jour
ALYac Trojan.Spy.Zbot.FNK 20141202
AVG Zbot.LNM 20141202
AVware Win32.Malware!Drop 20141121
Ad-Aware Trojan.Spy.Zbot.FNK 20141202
Agnitum Trojan.Cryptodef! 20141201
Antiy-AVL Trojan[Ransom]/Win32.Cryptodef 20141202
Avast Win32:MalOb-LL [Cryp] 20141202
Avira TR/Rogue.AI.147142 20141202
Baidu-International Trojan.Win32.Ransom.acDR 20141202
BitDefender Trojan.Spy.Zbot.FNK 20141202
CAT-QuickHeal TrojanDownloader.Upatre.A4 20141202
Comodo Backdoor.Win32.Androm.EQ 20141202
Cyren W32/Trojan.AYXL-0700 20141202
DrWeb Trojan.PWS.Panda.7528 20141202
ESET-NOD32 Win32/TrojanDownloader.Waski.F 20141202
F-Prot W32/Trojan3.JHJ 20141202
F-Secure Trojan-Downloader:W32/Upatre.I 20141202
Fortinet W32/Kryptik.CGSB!tr 20141202
GData Trojan.Spy.Zbot.FNK 20141202
Ikarus Trojan-Ransom.Win32.Cryptodef 20141202
Jiangmin TrojanDropper.Dapato.wrx 20141201
K7AntiVirus Trojan ( 7000000c1 ) 20141202
K7GW Trojan ( 7000000c1 ) 20141202
Kaspersky Trojan-Ransom.Win32.Cryptodef.pp 20141202
Kingsoft VIRUS_UNKNOWN 20141202
Malwarebytes Trojan.Downloader.Upatre 20141202
McAfee RDN/Generic.dx!dd3 20141202
McAfee-GW-Edition RDN/Generic.dx!dd3 20141202
MicroWorld-eScan Trojan.Spy.Zbot.FNK 20141202
Microsoft TrojanDownloader:Win32/Upatre 20141202
NANO-Antivirus Trojan.Win32.Cryptodef.dchnbh 20141202
Norman Kryptik.CECM 20141202
Qihoo-360 HEUR/Malware.QVM20.Gen 20141202
Rising PE:Trojan.Win32.Generic.17053A69!386218601 20141202
Sophos Troj/Ransom-AJQ 20141202
Symantec Trojan.Cryptodefense 20141202
Tencent Win32.Trojan.Cryptodef.Dzto 20141202
TotalDefense Win32/Upatre.FM 20141202
TrendMicro TROJ_UPATRE.CRYP 20141202
TrendMicro-HouseCall TROJ_UPATRE.CRYP 20141202
VBA32 Hoax.Cryptodef 20141202
VIPRE Win32.Malware!Drop 20141202
Zillya Trojan.Cryptodef.Win32.76 20141201
nProtect Trojan.Spy.Zbot.FNK 20141202
AegisLab 20141202
AhnLab-V3 20141202
Bkav 20141202
ByteHero 20141202
CMC 20141201
ClamAV 20141202
Panda 20141202
SUPERAntiSpyware 20141202
TheHacker 20141201
ViRobot 20141202
Zoner 20141127

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre mesures" Contre mesures "

CryptoPrevent crée des règles restrictive interdisant le lancement d'exécutables depuis certains emplacements. CryptoPrevent permet de créer ces règles y compris sur les versions Home et Home Premium de Windows (Vista, 7, 8) qui ne disposent pas des Software Restriction Policies (La fonctionnalité Stratégies de restriction logicielle est une fonctionnalité fondée sur les Stratégies de groupe qui identifie les programmes logiciels s’exécutant sur les ordinateurs d’un domaine et qui contrôle la capacité de ces programmes à s’exécuter.). Le principe est décrit dans ces pages de Microsoft :


Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

19.03.2014 - BleepingComputer - CryptoDefense and How Decrypt Ransomware Information Guide and FAQ

 Requêtes similairesRequêtes similaires" Requêtes similaires "