Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

CryptoDefense : crypto-ransomware

CryptoDefense est un crypto-ransomware chiffrant (cryptant) les fichiers de l'utilisateur puis demandant le paiement d'une rançon pour communiquer le moyen de les déchiffrer.

Ransomware CryptoDefense

CryptoDefense est un crypto-ransomware, une forme particulière de ransomware agissant en cryptoware en chiffrant/cryptant tous vos fichiers (sauf les fichiers de Windows afin de vous permettre de démarer l'ordinateur et de payer la rançon demandée).

Attention - innombrables tromperies sur le Web à propos de CryptoDefense

Lorsque vous cherchez CryptoDefense sur le Web, vous trouvez des milliers de propositions, commerciales évidemment, pour acheter, très cher, un truc douteux et inconnu qui prétend supprimer CryptoDefense, sans jamais dire que :

  1. cela ne sert strictement à rien : vos fichiers cryptés restent cryptés
  2. le crypto-ransomware s'est souvent déjà auto-détruit après son ravage

Attention

  1. Si vous disposez de sauvegardes, NE LES BRANCHEZ PAS tant que le « crypto-ransomware CryptoDefense » est présent sinon il va se précipiter dessus et les crypter à leur tour.
  2. Ne comptez pas sur les copies de sécurité faites par Windows (les « versions précédentes »), si vous les avez paramétrées, car les crypto-ransomwares les détruisent.
  3. Certains fichiers d'informations du « crypto-ransomware CryptoDefense » ne doivent pas être détruits, car ils contiennent des données qui sont absolument nécessaires pour décrypter les fichiers
  4. Certains cybercriminels craignent que leur code ne soit échantillonné rapidement et :
    1. analysé par les anti-malwares qui vont se mettre à détecter la malveillance et la bloquer en temps réel alors que le cybercriminel compte poursuivre son déploiement
    2. analysé par des chercheurs en sécurité qui pourraient, avec une ingénierie inverse (Reverse engineering), trouver un moyen de décrypter (gratuitement) les fichiers des victimes.
    Ils font tout pour retarder de quelques heures à quelques jours l'analyse de leur code. La solution, lorsqu'elle est choisie, est simple : le « crypto-ransomware » s'auto-détruit afin de ne laisser aucune trace (sauf les clés nécessaires au déchiffrement si la victime paye la rançon.)
  5. Pour décontaminer votre ordinateur, utilisez l'un ou l'autre de ces deux outils :
    1. Malwarebytes
    2. Emsisoft Anti-Malware

Hors de ces deux logiciels recommandés, attention à toutes les autres offres !

  • Autres noms

    Les noms des crypto-ransomwares sont donnés soit en trouvant un nom dans le code, donc un nom donné par le cybercriminel lui-même à son programme, soit en utilisant les noms des extensions de fichiers ajoutées ou les noms des adresses de contact. Comme chaque crypto-ransomwares connaît de nombreuses variantes durant sa courte existence, il peut être connu sous de nombreux noms.

    Copycat de CryptoLockerCopycat de CryptoLocker

  • Plateformes ciblées

    Windows
  • Date d'apparition :

    ?
  • Détails techniques :

    Détails techniques
  • Visuels d'identification :


  • Informations laissées par le cybercriminel (noms des fichiers d'instructions) :


  • Montant de la rançon demandée :


  • Algorithmes de chiffrement (cryptage) utilisés :


  • Analyse VirusTotal d'un échantillon :


  • Types de fichiers chiffrés (cryptés) :


  • Formes des modifications des noms des fichiers (extensions ou préfixes ajoutés, chiffrement) :

    .cryptodefense
  • Moyens de contact indiqués :


  • Note(s) :

    CryptoDefense est un ransomwares (rançongiciels) de type cryptoware. - attaques définitivement bloquantes, souvent irréversibles sauf à payer une rançon au cybercriminel), attaquant les ordinateurs fonctionnant sous le système d'exploitation Windows (toutes versions depuis Windows XP : Windows XP, Windows Vista, Windows 7, Windows 8).

    Actif en 2014.

    CryptoDefense se présente :

    • Sous la forme d'une prétendue image attachée à un courrier électronique (email), accompagnée de textes rassurants tels que "Scanned Image from a Xerox WorkCentre" ou :

      CryptoDefense (ransomware)

      Please open the attached document.
      This document was digitally sent to you using an HP Digital Sending device.

      -------------------------------------------------------------------------------
      This email has been scanned for viruses and spam.

    • Sous la forme d'un prétendu logiciel gratuit (faux Codecs, faux lecteurs vidéo ou fausses mises à jour de lecteurs video, fausses mises à jour d'une technologie comme Flash ou Java ou SilverLight, etc. ...) utilisant les mécanismes publicitaires pour se propager, l'ingénierie sociale, les drive-by download, etc. ... En particulier, de fausses mises à jour de Flash Player ou d'autres Video Players sont prétendues indispensables pour regarder des video en ligne.

    SI l'utilisateur ouvre le fichier venant avec un courrier, ou active le programme téléchargé, CryptoDefense :

    • Se connecte au serveur de C&C (Command and Control) du BotNet du cybercriminel
    • Calcule et envoie sur le serveur de C&C (Command and Control) une clé privée spécifique à l'ordinateur infecté
    • Effectue une copie de l'écran et l'envoie sur le serveur de C&C (Command and Control). Cette copie d'écran se retrouvera sur la page de paiement de la rançon, spécifique à l'ordinateur infecté (pour " rassurer " la victime).
    • Détruit toutes les sauvegardes incrémentielles obtenues par les mécanismes de Windows (VSS - Volume Shadow-Copy Service - Versions précédentes). Seuls les sauvegardes intégrales maintenues périodiquement sur des volumes hors connection pourront être utilisées, si elles existent.
    • Crypte (chiffre) immédiatement tous les fichiers de l'utilisateur (documents texte, audio, video, Microsoft Office, etc. ...), à l'exception des fichiers Windows (afin de permettre à l'utilisateur de se connecter au Web et de payer une rançon), en utilisant un chiffrement RSA 2048.
    • Inscript les fichiers How_Decrypt.txt, How_Decrypt.html et How_Decrypt.url dans chaque dossier dans lequel au moins un fichier a été chiffré. Ces fichiers contiennent les instructions pour décrypter les fichiers. En particulier, on y trouve un lien cliquable vers une page Web spécifique à l'utilisateur qui permet au cybercriminel de délivrer à la victime une clé de décryptage spécifique à lui seul et à la clé privée de cryptage utilisée. L'utilisation du réseau d'anonymisation TOR est obligatoire afin de rendre le paiement de la rançon intraçable. Des instructions pour installer et utiliser TOR sont données.
    • Installe parfois de nombreux adwares ce qui permet au cybercriminel de monétiser l'infection, même si l'utilisateur refuse de payer la rançon.
    • On trouve parfois, simultanément à CryptoDefense, un autre ransomware : CryptoLocker ou CryptorBit.

    La rançon est de 500 US$ à payer en utilisant la monaie virtuelle (intraçable) Bitcoin.

    CryptoDefense (ransomware)
    CryptoDefense (ransomware)

    CryptoDefense - Suppression

    Tous les antivirus qui détectent CryptoDefense sont capables de le supprimer. Toutefois, il faut bien noter que la suppression de CryptoDefense ne restaure pas les fichiers chiffrés.

    Le déchifrement (décryptage) des fichiers cryptés est définitivement impossible

    En l'état actuel des technologies, un chiffrement par CryptoDefense, utilisant l'algorithme RSA 2048, est irréversible. Seule la clé de déchiffrement correspondante à la clé de chiffrement utilisée permet le déchiffrement, clé qu'il faut payer au cybercriminel (délais de 30 jours après quoi la clé de déchiffrement est détruite et même le cybercriminel ne peut revenir en arrière).

    Il n'y a que deux solutions :

    • Repartir des sauvegardes (encore faut-il en avoir fait), en comprenant bien que les points de restauration du système ne gèrent absolument pas les données utilisateurs (sauf à avoir paramétré le mécanisme automatique des " versions précédentes des fichiers ", et encore... il n'existe pas forcément de version précédente de chaque fichier).
    • Payer le cybercriminel et faire le jeu de la cybercriminalité (et ne même pas être certain de recevoir la clé de déchiffrement).

    CryptoDefense - Decryptage

    Si vous avez été infecté avant le 1er avril 2014 et si vous avez conservé vos disques infectés, il y a peut-être une chance de récupérer vos fichiers. Un bug dans certaines variantes de CryptoDefense permet de retrouver la clé de décryptage. Tentez l'utilisation d'Emsisoft Decryptor ( decrypt_cryptodefense.zip ).

    CryptoDefense - Analyse

    Analyse d'une variante de CryptoDefense par le service multiantivirus VirusTotal
    Le 02.12.2014
    AntivirusRésultatMise à jour
    ALYacTrojan.Spy.Zbot.FNK20141202
    AVGZbot.LNM20141202
    AVwareWin32.Malware!Drop20141121
    Ad-AwareTrojan.Spy.Zbot.FNK20141202
    AgnitumTrojan.Cryptodef!20141201
    Antiy-AVLTrojan[Ransom]/Win32.Cryptodef20141202
    AvastWin32:MalOb-LL [Cryp]20141202
    AviraTR/Rogue.AI.14714220141202
    Baidu-InternationalTrojan.Win32.Ransom.acDR20141202
    BitDefenderTrojan.Spy.Zbot.FNK20141202
    CAT-QuickHealTrojanDownloader.Upatre.A420141202
    ComodoBackdoor.Win32.Androm.EQ20141202
    CyrenW32/Trojan.AYXL-070020141202
    DrWebTrojan.PWS.Panda.752820141202
    ESET-NOD32Win32/TrojanDownloader.Waski.F20141202
    F-ProtW32/Trojan3.JHJ20141202
    F-SecureTrojan-Downloader:W32/Upatre.I20141202
    FortinetW32/Kryptik.CGSB!tr20141202
    GDataTrojan.Spy.Zbot.FNK20141202
    IkarusTrojan-Ransom.Win32.Cryptodef20141202
    JiangminTrojanDropper.Dapato.wrx20141201
    K7AntiVirusTrojan ( 7000000c1 )20141202
    K7GWTrojan ( 7000000c1 )20141202
    KasperskyTrojan-Ransom.Win32.Cryptodef.pp20141202
    KingsoftVIRUS_UNKNOWN20141202
    MalwarebytesTrojan.Downloader.Upatre20141202
    McAfeeRDN/Generic.dx!dd320141202
    McAfee-GW-EditionRDN/Generic.dx!dd320141202
    MicroWorld-eScanTrojan.Spy.Zbot.FNK20141202
    MicrosoftTrojanDownloader:Win32/Upatre20141202
    NANO-AntivirusTrojan.Win32.Cryptodef.dchnbh20141202
    NormanKryptik.CECM20141202
    Qihoo-360HEUR/Malware.QVM20.Gen20141202
    RisingPE:Trojan.Win32.Generic.17053A69!38621860120141202
    SophosTroj/Ransom-AJQ20141202
    SymantecTrojan.Cryptodefense20141202
    TencentWin32.Trojan.Cryptodef.Dzto20141202
    TotalDefenseWin32/Upatre.FM20141202
    TrendMicroTROJ_UPATRE.CRYP20141202
    TrendMicro-HouseCallTROJ_UPATRE.CRYP20141202
    VBA32Hoax.Cryptodef20141202
    VIPREWin32.Malware!Drop20141202
    ZillyaTrojan.Cryptodef.Win32.7620141201
    nProtectTrojan.Spy.Zbot.FNK20141202
    AegisLab20141202
    AhnLab-V320141202
    Bkav20141202
    ByteHero20141202
    CMC20141201
    ClamAV20141202
    Panda20141202
    SUPERAntiSpyware20141202
    TheHacker20141201
    ViRobot20141202
    Zoner20141127

    Contre mesures

    CryptoPrevent crée des règles restrictive interdisant le lancement d'exécutables depuis certains emplacements. CryptoPrevent permet de créer ces règles y compris sur les versions Home et Home Premium de Windows (Vista, 7, 8) qui ne disposent pas des Software Restriction Policies (La fonctionnalité Stratégies de restriction logicielle est une fonctionnalité fondée sur les Stratégies de groupe qui identifie les programmes logiciels s’exécutant sur les ordinateurs d’un domaine et qui contrôle la capacité de ces programmes à s’exécuter.). Le principe est décrit dans ces pages de Microsoft :

    Le CTO (Chief Technology Officer) d'Emsisoft est Fabian Wosar au moment du développement de ce décrypteur
  • Décrypteur(s) gratuit(s) :

    Décrypteur gratuit de CryptoDefense par Emsisoft (MàJ du : 02/04/2014) - Tutoriel du décrypteur de CryptoDefense
  • Outils de recherches de « CryptoDefense »

    Recherches avec les moteurs de recherche protégeant la vie privée (et Google pour comparaison).

    Recherches
    avec
    Qwant
    Recherches
    avec
    DuckDuckGo
    Recherches
    avec
    StartPage
    Recherches
    avec
    SwissCows
    Recherches
    avec
    Framabee
    Recherches
    avec
    YaCy
    Recherches
    avec
    Google
    Tout le WebTout le WebTout le WebTout le WebTout le WebTout le Web
    BleepingComputerBleepingComputerBleepingComputerBleepingComputerBleepingComputerBleepingComputer
    MalwarebytesMalwarebytesMalwarebytesMalwarebytesMalwarebytesMalwarebytes
    EmsiSoftEmsiSoftEmsiSoftEmsiSoftEmsiSoftEmsiSoft
    SpyBotSpyBotSpyBotSpyBotSpyBotSpyBot
    AvastAvastAvastAvastAvastAvast
    AVGAVGAVGAVGAVGAVG
    AviraAviraAviraAviraAviraAvira
    BitdefenderBitdefenderBitdefenderBitdefenderBitdefenderBitdefender
    ComodoComodoComodoComodoComodoComodo
    DrWebDrWebDrWebDrWebDrWebDrWeb
    eScaneScaneScaneScaneScaneScan
    ESETESETESETESETESETESET
    FortinetFortinetFortinetFortinetFortinetFortinet
    F-SecureF-SecureF-SecureF-SecureF-SecureF-Secure
    GDataGDataGDataGDataGDataGData
    KasperskyKasperskyKasperskyKasperskyKasperskyKaspersky
    McAfeeMcAfeeMcAfeeMcAfeeMcAfeeMcAfee
    MicrosoftMicrosoftMicrosoftMicrosoftMicrosoftMicrosoft
    Quick HealQuick HealQuick HealQuick HealQuick HealQuick Heal
    SophosSophosSophosSophosSophosSophos
    SymantecSymantecSymantecSymantecSymantecSymantec
    TrendTrendTrendTrendTrendTrend
    VBA32VBA32VBA32VBA32VBA32VBA32
    WikipediaWikipediaWikipediaWikipediaWikipediaWikipedia














    Recherches
    avec
    Qwant
    Recherches
    avec
    DuckDuckGo
    Recherches
    avec
    StartPage
    Recherches
    avec
    SwissCows
    Recherches
    avec
    Framabee
    Recherches
    avec
    YaCy
    Recherches
    avec
    Google
    VirusTotalVirusTotalVirusTotalVirusTotalVirusTotalVirusTotal

Protection en temps réel obligatoire (Malwarebytes Premium recommandé)

Il ne s'agit pas de décontaminer votre ordinateur après contamination avec un outil faisant une analyse en temps différé (à la demande (« On-demand »)), mais d'empêcher sa contamination, en amont, avec un outil fonctionnant en temps réel (« On-access » ou, mieux, « On-execution »).

Malwarebytes Premium (ou Endpoint) fait les 2 :

  1. pratique le mode « On-execution » (fonctionnement en temps réel en parfaite entente quel que soient les autres outils de sécurité installés)
  2. peut être utilisé à tout moment en mode à la demande (« On-demand ») pour lancer des analyses périodiques

Malwarebytes - Paramétrage - Protection en temps réel de la navigation sur le Web
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») de la navigation sur le Web, dont grâce à hphosts

Malwarebytes - Paramétrage - Protection en temps réel contre les exploits
Malwarebytes - - Paramétrage - Protection en temps réel (« Real time ») contre les exploits

Malwarebytes - Paramétrage - Protection en temps réel contre les malveillances (malwares)
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les malveillances (malwares)

Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les ransomwares et crypto-ransomwares
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les ransomwares et crypto-ransomwares

CryptoDefense - CryptoDefense