Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Ransomware "Prison Locker" et "Power Locker"

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
29.03.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Ransomware "Prison Locker" et "Power Locker"

Ransomware "Prison Locker" et "Power Locker"Ransomware "Prison Locker" et "Power Locker"Ransomware "Prison Locker" et "Power Locker"

Alerte du 16.01.2014 :

Ce ransomware, appelé pour l'instant "Prison Locker" et "Power Locker", n'est pas encore déployé. Il est en phase de tests et finalisation. Ce nouveau ransomware a fait son apparition sur des forums clandestins.

"Prison Locker" et "Power Locker" seront vendus à des cybercriminels qui opèreront chacun dans leur sphère d'influence (leur botnet ou une technique de dropper utilisant des mécanismes publicitaires).

L'info est de Kaspersky sur son site http://www.viruslist.com/fr/news?id=197471114 et date du 15 janvier 2014.

Le message de Kaspersky :

Un nouveau ransomware a fait son apparition sur les forums clandestins

15.01.2014 16:46

Les activistes de l'alliance pour la sécurité Malware Must Die (MMD) signalent la sortie prochaine sur le marché noir d'un programme d'escroquerie présenté sous le nom de Prison Locker et Power Locker. Ces chasseurs de menaces sur Internet traquent ce programme depuis le mois de novembre et selon eux, l'auteur de ce programme et son associé sont dans la phase de finition de l'interface utilisateur du toolkit et ils font beaucoup appel aux membres des forums de pirates pour les tests. L'auteur du programme malveillant a déjà fixé le montant de la licence à 100 dollars et il a l'intention d'accepter les paiements en bitcoins.

D'après les données de MMD, le nouveau ransomware a été programmé en C/C++ et se charge dans le dossier de fichiers temporaires de la victime à l'aide d'un cheval de Troie de type dropper. Une fois installé, Prison Locker chiffre toutes les données sur le disque dur et les disques partagés, à l'exception des fichiers système (.exe, .dll, .sys, etc.) D'après une déclaration publiée en décembre sur Pastebin.com, la version finale du programme malveillant utilisera l'algorithme de chiffrement Blowfish en créant une clé unique pour chaque fichier chiffré. Cette clé est ensuite chiffrée à l'aide d'une clé RSA de 2 048 bits, unique pour l'ordinateur infecté et enregistrée avec le fichier chiffré.

Prison Locker crée également un Bureau et quand le chiffrement est terminé, il y affiche en plein écran une message sur la nécessité de payer une rançon. Un module spécial bloque les touches Windows et Escape et arrête de nombreux processus Windows, dont explorer.exe, regedit.exe, taskmgr.exe et cmd.exe. Le passage d'une application à l'autre à l'aide de Alt+Tab devient également impossible. De plus, le programme malveillant vérifie toutes les quelques millisecondes si l'utilisateur n'a pas quitté le nouveau Bureau. Si c'est le cas, il l'active à nouveau.

A l'instar de CryptoLocker, ce nouveau programme d'escroquerie exige le paiement d'une rançon dans le délai imparti, sans quoi la clé de déchiffrement sera détruite. L'opérateur du programme malveillant a la possibilité de modifier ce délai, d'arrêter le compte-à-rebours ou de le réinitialiser. Il peut même fixer lui-même le montant de la rançon. Il peut également renommer le fichier malveillant et désigner un autre dossier pour son téléchargement. L'accès au tableau d'administration s'opère à l'aide des données par défaut admin/admin, mais là aussi il existe des possibilités de personnalisation.

D'après l'auteur, Prison Locker est doté de toute une série de moyens de protection. Il est en mesure de détecter son exécution sur une machine virtuelle de base, dans un bac à sable ou avec un débogueur.

A l'heure actuelle, les enquêteurs connaissent le pseudo sur les réseaux de l'auteur du programme malveillant : gyx. Ils connaissent également son numéro ICQ, son ID sur Jabber, son adresse Gmail ainsi que son surnom sur Twitter et l'adresse de sa page personnelle sur blogspot.in. Il est intéressant de voir que l'auteur de Prison Locker se décrit dans son profil Twitter comme un "défenseur de la sécurité sur Internet", "un analyste de virus débutant" et même "un programmeur C/C++ qui apprend MASM" (Microsoft Macro Assembler). Les membres de MMD ont déjà transmis les informations en leur possession à leurs collègues et partenaires dans les services de police et la situation est contrôlée.

http://threatpost.com/prisonlocker-ransomware-emerges-from-criminal-forums/103443

Actions rapides préventives

Contre l'exploitation des failles de sécurité :
Entretien périodique d'un PC sous Windows - Mises à jour
Mise à jour de tous les plugins dans tous les navigateurs.

Contre l'exploitation des mécanismes publicitaires :
Bloquer totalement et définitivement tous les mécanismes publicitaires.

Contre les "bonus" (dit "sponsor" ou "bundle") lors de l'installation d'un logiciel :
Contre les cas de Repacks :
Contre les Downloader :

Là, la balle est dans votre camp. Lire :
Repack de logiciel (Repacking)
Bundle et Sponsor - installer une application - Attention aux trucs indésirables livrés avec

Contre l'Ingénierie sociale vous convainquant d'utiliser un inutilitaire piégé :
Là aussi, la balle est dans votre camp. Ne vous laissez pas manipuler.
Des messages comme la fausse alerte à la mise à jour Java ou comme les " Un virus a été trouvé dans votre ordinateur ", relèvent des mécanismes publicitaires (avec Drive-By Download (téléchargement et installation) d'un parasite (par exemple de la classe des Dropper).
Ces manipulations relèvent également de l'Ingénierie sociale
La méthode pour se prémunir consiste à bloquer totalement et définitivement tous les mécanismes publicitaires.

Contre l'ouverture, sans réfléchir, d'un courriel :
Là encore, la balle est dans votre camp.
Vous ne devez jamais ouvrir (ou permettre l'ouverture) d'un courriel avant d'avoir lu son titre. Pour cela, la fenêtre de visualisation des courriels doit toujours être fermée. Seul un double clic sur le titre du courriel doit permettre de l'ouvrir (une fois que vous êtes certain d'attendre ce message qui provient d'un interlocuteur connu de vous). Le simple fait de naviguer dans la liste des titres ne doit jamais provoquer l'ouverture du courriel.

Contre l'ouverture les yeux fermés des pièces jointes à un courriel !
Le clic droit > Analyser la pièce jointe avec l'antivirus : ça existe ! A faire avant d'ouvrir la pièce jointe !
On réfléchi d'abord, on clique après.