Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

SamSam 2 : crypto-ransomware

SamSam 2 est un crypto-ransomware chiffrant (cryptant) les fichiers de l'utilisateur puis demandant le paiement d'une rançon pour communiquer le moyen de les déchiffrer.

 - SamSam 2 SamSam 2 - 01   SamSam 2  - SamSam 2 - Crypto-ransomware SamSam 2

Ransomware SamSam 2

SamSam 2 est un crypto-ransomware, une forme particulière de ransomware agissant en cryptoware en chiffrant/cryptant tous vos fichiers (sauf les fichiers de Windows afin de vous permettre de démarer l'ordinateur et de payer la rançon demandée).

Mohammad Mehdi Shah Mansouri (né à Qom, en Iran en 1991) et Faramarz Shahi Savandi (né à Shiraz, en Iran, en 1984) sont recherchés par le FBI pour avoir, semble t'il, développé et lancé le crypto-ransomware SamSam. L'extorsion de fonds aurait coûté 6 millions de dollars aux victimes qui ont consenti à payer la rançon et causé plus de 30 millions de dollars de dommages aux victimes qui ont refusé de payer la rançon et ont du reconstituer leurs fichiers et données.

Attention - innombrables tromperies sur le Web à propos de SamSam 2

Lorsque vous cherchez SamSam 2 sur le Web, vous trouvez des milliers de propositions, commerciales évidemment, pour acheter, très cher, un truc douteux et inconnu qui prétend supprimer SamSam 2, sans jamais dire que :

  1. cela ne sert strictement à rien : vos fichiers cryptés restent cryptés
  2. le crypto-ransomware s'est souvent déjà auto-détruit après son ravage

Attention

  1. Si vous disposez de sauvegardes, NE LES BRANCHEZ PAS tant que le « crypto-ransomware SamSam 2 » est présent sinon il va se précipiter dessus et les crypter à leur tour.
  2. Ne comptez pas sur les copies de sécurité faites par Windows (les « versions précédentes »), si vous les avez paramétrées, car les crypto-ransomwares les détruisent.
  3. Certains fichiers d'informations du « crypto-ransomware SamSam 2 » ne doivent pas être détruits, car ils contiennent des données qui sont absolument nécessaires pour décrypter les fichiers
  4. Certains cybercriminels craignent que leur code ne soit échantillonné rapidement et :
    1. analysé par les anti-malwares qui vont se mettre à détecter la malveillance et la bloquer en temps réel alors que le cybercriminel compte poursuivre son déploiement
    2. analysé par des chercheurs en sécurité qui pourraient, avec une ingénierie inverse (Reverse engineering), trouver un moyen de décrypter (gratuitement) les fichiers des victimes.
    Ils font tout pour retarder de quelques heures à quelques jours l'analyse de leur code. La solution, lorsqu'elle est choisie, est simple : le « crypto-ransomware » s'auto-détruit afin de ne laisser aucune trace (sauf les clés nécessaires au déchiffrement si la victime paye la rançon.)
  5. Pour décontaminer votre ordinateur, utilisez l'un ou l'autre de ces deux outils :
    1. Malwarebytes
    2. Emsisoft Anti-Malware

Hors de ces deux logiciels recommandés, attention à toutes les autres offres !

  • Autres noms

    Les noms des crypto-ransomwares sont donnés soit en trouvant un nom dans le code, donc un nom donné par le cybercriminel lui-même à son programme, soit en utilisant les noms des extensions de fichiers ajoutées ou les noms des adresses de contact. Comme chaque crypto-ransomwares connaît de nombreuses variantes durant sa courte existence, il peut être connu sous de nombreux noms.

    Ransom.Samas, MSIL/Samas.A
    Détection de l'une de ses versions sous les noms de :

    AhnlabBinImage/Obfuscated
    AntiyGrayWare/Win32.Presenoker
    CyrenTrojan.FTIO-1
    McAfeeRansomware-SAMAS
    SophosTroj/Samas-G
    TrendMicroRansom_.67284F17
    TrendMicro House CallRansom_.67284F17

    Détection d'une autre de ses versions sous les noms de :
    AviraTR/Dropper.MSIL.Gen
    BitDefenderGeneric.Ransom.SamSam.82D17683
    ClamAVWin.Ransomware.Samsam-6425958-0
    ESETa variant of MSIL/Filecoder.Samas.B trojan
    EmsisoftGeneric.Ransom.SamSam.82D17683 (B)
    IkarusTrojan-Ransom.Samas
    McAfeeTrojan-FNEY!1AFC39B101A6
    SophosTroj/Samas-L
    SymantecRansom.SamSam

    Détection d'une autre de ses versions sous les noms de :
    AhnlabTrojan/Win32.Occamy
    AntiyTrojan/Win32.TSGeneric
    BitDefenderGen:Variant.Razy.275811
    ClamAVWin.Ransomware.Samsam-6482587-0
    CyrenW32/Trojan.KJIQ-4456
    ESETa variant of MSIL/Runner.J trojan
    EmsisoftGen:Variant.Razy.275811 (B)
    IkarusTrojan.SuspectCRC
    K7Riskware ( 0040eff71 )
    McAfeeRDN/Generic.dx
    Microsoft Security EssentialsRansom:MSIL/Samas.D
    NANOAVTrojan.Win32.Crypt.falsxr
    NetGateTrojan.Win32.Malware
    Quick HealTrojan.YakbeexMSIL.ZZ4
    SophosMal/Kryptik-BV
    SymantecTrojan Horse
    TrendMicroTROJ_FR.5CBB1CDE
    TrendMicro House CallTROJ_FR.5CBB1CDE
    Zillya!Trojan.Crypt.Win32.42586

    Détection d'une autre de ses versions sous les noms de :
    McAfeeBAT/Starter.h
    Microsoft Security EssentialsRansom:BAT/Samas
    SophosTroj/RansRun-A
    SymantecTrojan.Malscript
    Détection d'une autre de ses versions sous les noms de :
    AhnlabTrojan/Win32.Samas
    AntiyTrojan/Win32.AGeneric
    AviraTR/Ransom.hlwsr
    BitDefenderTrojan.GenericKD.30548303
    ClamAVWin.Ransomware.Samsam-6482588-0
    CyrenW32/Trojan.USJT-3730
    ESETa variant of MSIL/Runner.N trojan
    EmsisoftTrojan.GenericKD.30548303 (B)
    IkarusRansom.MSIL.Samas
    K7Riskware ( 0040eff71 )
    McAfeeRDN/Generic.dx
    Microsoft Security EssentialsRansom:MSIL/Samas.D
    NANOAVTrojan.Win32.Ransom.ffqmxt
    SophosTroj/Samas-F
    SymantecRansom.SamSam
    Systweaktrojan-spy.samas
    TrendMicroTROJ_SAMAS.B
    TrendMicro House CallTROJ_SAMAS.B
    Zillya!Trojan.GenericKD.Win32.128339
    Ransom.Samas, MSIL/Samas.A
    Détection de l'une de ses versions sous les noms de :
    AhnlabBinImage/Obfuscated
    AntiyGrayWare/Win32.Presenoker
    CyrenTrojan.FTIO-1
    McAfeeRansomware-SAMAS
    SophosTroj/Samas-G
    TrendMicroRansom_.67284F17
    TrendMicro House CallRansom_.67284F17

    Détection d'une autre de ses versions sous les noms de :
    AviraTR/Dropper.MSIL.Gen
    BitDefenderGeneric.Ransom.SamSam.82D17683
    ClamAVWin.Ransomware.Samsam-6425958-0
    ESETa variant of MSIL/Filecoder.Samas.B trojan
    EmsisoftGeneric.Ransom.SamSam.82D17683 (B)
    IkarusTrojan-Ransom.Samas
    McAfeeTrojan-FNEY!1AFC39B101A6
    SophosTroj/Samas-L
    SymantecRansom.SamSam

    Détection d'une autre de ses versions sous les noms de :
    AhnlabTrojan/Win32.Occamy
    AntiyTrojan/Win32.TSGeneric
    BitDefenderGen:Variant.Razy.275811
    ClamAVWin.Ransomware.Samsam-6482587-0
    CyrenW32/Trojan.KJIQ-4456
    ESETa variant of MSIL/Runner.J trojan
    EmsisoftGen:Variant.Razy.275811 (B)
    IkarusTrojan.SuspectCRC
    K7Riskware ( 0040eff71 )
    McAfeeRDN/Generic.dx
    Microsoft Security EssentialsRansom:MSIL/Samas.D
    NANOAVTrojan.Win32.Crypt.falsxr
    NetGateTrojan.Win32.Malware
    Quick HealTrojan.YakbeexMSIL.ZZ4
    SophosMal/Kryptik-BV
    SymantecTrojan Horse
    TrendMicroTROJ_FR.5CBB1CDE
    TrendMicro House CallTROJ_FR.5CBB1CDE
    Zillya!Trojan.Crypt.Win32.42586

    Détection d'une autre de ses versions sous les noms de :
    McAfeeBAT/Starter.h
    Microsoft Security EssentialsRansom:BAT/Samas
    SophosTroj/RansRun-A
    SymantecTrojan.Malscript
    Détection d'une autre de ses versions sous les noms de :
    AhnlabTrojan/Win32.Samas
    AntiyTrojan/Win32.AGeneric
    AviraTR/Ransom.hlwsr
    BitDefenderTrojan.GenericKD.30548303
    ClamAVWin.Ransomware.Samsam-6482588-0
    CyrenW32/Trojan.USJT-3730
    ESETa variant of MSIL/Runner.N trojan
    EmsisoftTrojan.GenericKD.30548303 (B)
    IkarusRansom.MSIL.Samas
    K7Riskware ( 0040eff71 )
    McAfeeRDN/Generic.dx
    Microsoft Security EssentialsRansom:MSIL/Samas.D
    NANOAVTrojan.Win32.Ransom.ffqmxt
    SophosTroj/Samas-F
    SymantecRansom.SamSam
    Systweaktrojan-spy.samas
    TrendMicroTROJ_SAMAS.B
    TrendMicro House CallTROJ_SAMAS.B
    Zillya!Trojan.GenericKD.Win32.128339
  • Plateformes ciblées

    Exploite essentiellement une faille sur les serveurs Jboss, un système de serveur d’application Java.
  • Date d'apparition :

    ?
  • Détails techniques :

    Détails techniques
    Détails techniques
    Détails techniques
    Détails techniques
    Détails techniques
  • Visuels d'identification :

    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam
    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam

    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam
    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam

    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam
    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam

  • Informations laissées par le cybercriminel (noms des fichiers d'instructions) :


  • Montant de la rançon demandée :


  • Algorithmes de chiffrement (cryptage) utilisés :

    RSA-2048
  • Analyse VirusTotal d'un échantillon :


  • Types de fichiers chiffrés (cryptés) :

    Le ransomware recherche les fichiers à chiffrer sur tous les lecteurs installés sur le système de la victime. Le malware évite de chiffrer des fichiers avec les extensions suivantes et des fichiers dans les dossiers suivants:

    "desktop.ini"
    "g04inst.bat"
    "ntuser.dat"
    "search-ms"
    ".search-ms"
    ".exe"
    ".msi"
    ".lnk"
    ".wim"
    ".scf"
    "microsoft\\windows"
    "appdata"
    ".ini"
    ".sys"
    ".dll"

  • Formes des modifications des noms des fichiers (extensions ou préfixes ajoutés, chiffrement) :

    .encryptedRSA
  • Moyens de contact indiqués :


  • Note(s) :


  • Décrypteur(s) gratuit(s) :

  • Outils de recherches de « SamSam »

    Recherches avec les moteurs de recherche protégeant la vie privée (et Google pour comparaison).

    Recherches
    avec
    Qwant
    Recherches
    avec
    DuckDuckGo
    Recherches
    avec
    StartPage
    Recherches
    avec
    SwissCows
    Recherches
    avec
    Framabee
    Recherches
    avec
    YaCy
    Recherches
    avec
    Google
    Tout le WebTout le WebTout le WebTout le WebTout le WebTout le Web
    BleepingComputerBleepingComputerBleepingComputerBleepingComputerBleepingComputerBleepingComputer
    MalwarebytesMalwarebytesMalwarebytesMalwarebytesMalwarebytesMalwarebytes
    EmsiSoftEmsiSoftEmsiSoftEmsiSoftEmsiSoftEmsiSoft
    SpyBotSpyBotSpyBotSpyBotSpyBotSpyBot
    AvastAvastAvastAvastAvastAvast
    AVGAVGAVGAVGAVGAVG
    AviraAviraAviraAviraAviraAvira
    BitdefenderBitdefenderBitdefenderBitdefenderBitdefenderBitdefender
    ComodoComodoComodoComodoComodoComodo
    DrWebDrWebDrWebDrWebDrWebDrWeb
    eScaneScaneScaneScaneScaneScan
    ESETESETESETESETESETESET
    FortinetFortinetFortinetFortinetFortinetFortinet
    F-SecureF-SecureF-SecureF-SecureF-SecureF-Secure
    GDataGDataGDataGDataGDataGData
    KasperskyKasperskyKasperskyKasperskyKasperskyKaspersky
    McAfeeMcAfeeMcAfeeMcAfeeMcAfeeMcAfee
    MicrosoftMicrosoftMicrosoftMicrosoftMicrosoftMicrosoft
    Quick HealQuick HealQuick HealQuick HealQuick HealQuick Heal
    SophosSophosSophosSophosSophosSophos
    SymantecSymantecSymantecSymantecSymantecSymantec
    TrendTrendTrendTrendTrendTrend
    VBA32VBA32VBA32VBA32VBA32VBA32
    WikipediaWikipediaWikipediaWikipediaWikipediaWikipedia














    Recherches
    avec
    Qwant
    Recherches
    avec
    DuckDuckGo
    Recherches
    avec
    StartPage
    Recherches
    avec
    SwissCows
    Recherches
    avec
    Framabee
    Recherches
    avec
    YaCy
    Recherches
    avec
    Google
    VirusTotalVirusTotalVirusTotalVirusTotalVirusTotalVirusTotal

Protection en temps réel obligatoire (Malwarebytes Premium recommandé)

Il ne s'agit pas de décontaminer votre ordinateur après contamination avec un outil faisant une analyse en temps différé (à la demande (« On-demand »)), mais d'empêcher sa contamination, en amont, avec un outil fonctionnant en temps réel (« On-access » ou, mieux, « On-execution »).

Malwarebytes Premium (ou Endpoint) fait les 2 :

  1. pratique le mode « On-execution » (fonctionnement en temps réel en parfaite entente quel que soient les autres outils de sécurité installés)
  2. peut être utilisé à tout moment en mode à la demande (« On-demand ») pour lancer des analyses périodiques

Malwarebytes - Paramétrage - Protection en temps réel de la navigation sur le Web
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») de la navigation sur le Web, dont grâce à hphosts

Malwarebytes - Paramétrage - Protection en temps réel contre les exploits
Malwarebytes - - Paramétrage - Protection en temps réel (« Real time ») contre les exploits

Malwarebytes - Paramétrage - Protection en temps réel contre les malveillances (malwares)
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les malveillances (malwares)

Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les ransomwares et crypto-ransomwares
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les ransomwares et crypto-ransomwares

SamSam 2 - SamSam 2