Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

SamSam 3 : crypto-ransomware

SamSam 3 est un crypto-ransomware chiffrant (cryptant) les fichiers de l'utilisateur puis demandant le paiement d'une rançon pour communiquer le moyen de les déchiffrer.

 - SamSam 3 SamSam 3 - 01   SamSam 3  - SamSam 3 - Crypto-ransomware SamSam 3

Ransomware SamSam 3

SamSam 3 est un crypto-ransomware, une forme particulière de ransomware agissant en cryptoware en chiffrant/cryptant tous vos fichiers (sauf les fichiers de Windows afin de vous permettre de démarer l'ordinateur et de payer la rançon demandée).

Mohammad Mehdi Shah Mansouri (né à Qom, en Iran en 1991) et Faramarz Shahi Savandi (né à Shiraz, en Iran, en 1984) sont recherchés par le FBI pour avoir, semble t'il, développé et lancé le crypto-ransomware SamSam. L'extorsion de fonds aurait coûté 6 millions de dollars aux victimes qui ont consenti à payer la rançon et causé plus de 30 millions de dollars de dommages aux victimes qui ont refusé de payer la rançon et ont du reconstituer leurs fichiers et données.

Attention - innombrables tromperies sur le Web à propos de SamSam 3

Lorsque vous cherchez SamSam 3 sur le Web, vous trouvez des milliers de propositions, commerciales évidemment, pour acheter, très cher, un truc douteux et inconnu qui prétend supprimer SamSam 3, sans jamais dire que :

  1. cela ne sert strictement à rien : vos fichiers cryptés restent cryptés
  2. le crypto-ransomware s'est souvent déjà auto-détruit après son ravage

Attention

  1. Si vous disposez de sauvegardes, NE LES BRANCHEZ PAS tant que le « crypto-ransomware SamSam 3 » est présent sinon il va se précipiter dessus et les crypter à leur tour.
  2. Ne comptez pas sur les copies de sécurité faites par Windows (les « versions précédentes »), si vous les avez paramétrées, car les crypto-ransomwares les détruisent.
  3. Certains fichiers d'informations du « crypto-ransomware SamSam 3 » ne doivent pas être détruits, car ils contiennent des données qui sont absolument nécessaires pour décrypter les fichiers
  4. Certains cybercriminels craignent que leur code ne soit échantillonné rapidement et :
    1. analysé par les anti-malwares qui vont se mettre à détecter la malveillance et la bloquer en temps réel alors que le cybercriminel compte poursuivre son déploiement
    2. analysé par des chercheurs en sécurité qui pourraient, avec une ingénierie inverse (Reverse engineering), trouver un moyen de décrypter (gratuitement) les fichiers des victimes.
    Ils font tout pour retarder de quelques heures à quelques jours l'analyse de leur code. La solution, lorsqu'elle est choisie, est simple : le « crypto-ransomware » s'auto-détruit afin de ne laisser aucune trace (sauf les clés nécessaires au déchiffrement si la victime paye la rançon.)
  5. Pour décontaminer votre ordinateur, utilisez l'un ou l'autre de ces deux outils :
    1. Malwarebytes
    2. Emsisoft Anti-Malware

Hors de ces deux logiciels recommandés, attention à toutes les autres offres !

  • Autres noms

    Les noms des crypto-ransomwares sont donnés soit en trouvant un nom dans le code, donc un nom donné par le cybercriminel lui-même à son programme, soit en utilisant les noms des extensions de fichiers ajoutées ou les noms des adresses de contact. Comme chaque crypto-ransomwares connaît de nombreuses variantes durant sa courte existence, il peut être connu sous de nombreux noms.

    Ransom.Samas, MSIL/Samas.A
    Détection de l'une de ses versions sous les noms de :

    AhnlabTrojan/Win32.Samas
    AntiyTrojan/Win32.SGeneric
    AviraTR/Ransom.lhumd
    BitDefenderGeneric.Ransom.SamSam.12451789
    ClamAVWin.Trojan.Samas-1
    CyrenW32/Trojan.MPPP-7951
    ESETMSIL/Filecoder.AR trojan
    EmsisoftGeneric.Ransom.SamSam.12451789 (B)
    IkarusTrojan-Ransom.SamSam
    K7Trojan ( 700000121 )
    McAfeeRansomware-SAMAS!A14EA969014B
    Microsoft Security EssentialsRansom:MSIL/Samas.A
    NANOAVTrojan.Win32.Ransom.eamswz
    Quick HealTrojan.Inject.TL3
    SophosTroj/RansmSam-A
    SymantecTrojan.Gen.2
    Systweakmalware.gen-r
    TrendMicroRansom_CRYPSAM.B
    TrendMicro House CallRansom_CRYPSAM.B
    Vir.IT eXplorerTrojan.Win32.MSIL9.BGXA
    VirusBlokAdaTrojan-Ransom.MSIL.Samas
    Zillya!Dropper.Agent.Win32.229787

    Détection d'une autre de ses versions sous les noms de :
    AhnlabTrojan/Win32.Samas
    AntiyTrojan[Ransom]/MSIL.Samas
    AviraTR/Ransom.lhumd
    BitDefenderGeneric.Ransom.SamSam.B120689A
    CyrenW32/Trojan.HBQK-8340
    ESETa variant of MSIL/Filecoder.AR trojan
    EmsisoftGeneric.Ransom.SamSam.B120689A (B)
    IkarusTrojan-Ransom.SamSam
    K7Trojan ( 700000121 )
    McAfeeRansomware-SAMAS!14721036E165
    Microsoft Security EssentialsRansom:MSIL/Samas.A
    NANOAVTrojan.Win32.Samas.eajeha
    Quick HealTrojan.Inject.TL3
    SophosTroj/RansmSam-A
    SymantecRansom.SamSam!gen1
    Systweaktrojan-spy.filecryptor
    TrendMicroRansom_.2933F726
    TrendMicro House CallRansom_.2933F726
    Vir.IT eXplorerTrojan.Win32.Atros3.CWX
    VirusBlokAdaTrojan-Ransom.MSIL.Samas
    Zillya!Trojan.Filecoder.Win32.2108
    Ransom.Samas, MSIL/Samas.A
    Détection de l'une de ses versions sous les noms de :
    AhnlabTrojan/Win32.Samas
    AntiyTrojan/Win32.SGeneric
    AviraTR/Ransom.lhumd
    BitDefenderGeneric.Ransom.SamSam.12451789
    ClamAVWin.Trojan.Samas-1
    CyrenW32/Trojan.MPPP-7951
    ESETMSIL/Filecoder.AR trojan
    EmsisoftGeneric.Ransom.SamSam.12451789 (B)
    IkarusTrojan-Ransom.SamSam
    K7Trojan ( 700000121 )
    McAfeeRansomware-SAMAS!A14EA969014B
    Microsoft Security EssentialsRansom:MSIL/Samas.A
    NANOAVTrojan.Win32.Ransom.eamswz
    Quick HealTrojan.Inject.TL3
    SophosTroj/RansmSam-A
    SymantecTrojan.Gen.2
    Systweakmalware.gen-r
    TrendMicroRansom_CRYPSAM.B
    TrendMicro House CallRansom_CRYPSAM.B
    Vir.IT eXplorerTrojan.Win32.MSIL9.BGXA
    VirusBlokAdaTrojan-Ransom.MSIL.Samas
    Zillya!Dropper.Agent.Win32.229787

    Détection d'une autre de ses versions sous les noms de :
    AhnlabTrojan/Win32.Samas
    AntiyTrojan[Ransom]/MSIL.Samas
    AviraTR/Ransom.lhumd
    BitDefenderGeneric.Ransom.SamSam.B120689A
    CyrenW32/Trojan.HBQK-8340
    ESETa variant of MSIL/Filecoder.AR trojan
    EmsisoftGeneric.Ransom.SamSam.B120689A (B)
    IkarusTrojan-Ransom.SamSam
    K7Trojan ( 700000121 )
    McAfeeRansomware-SAMAS!14721036E165
    Microsoft Security EssentialsRansom:MSIL/Samas.A
    NANOAVTrojan.Win32.Samas.eajeha
    Quick HealTrojan.Inject.TL3
    SophosTroj/RansmSam-A
    SymantecRansom.SamSam!gen1
    Systweaktrojan-spy.filecryptor
    TrendMicroRansom_.2933F726
    TrendMicro House CallRansom_.2933F726
    Vir.IT eXplorerTrojan.Win32.Atros3.CWX
    VirusBlokAdaTrojan-Ransom.MSIL.Samas
    Zillya!Trojan.Filecoder.Win32.2108
  • Plateformes ciblées

    Exploite essentiellement une faille sur les serveurs Jboss, un système de serveur d’application Java.
  • Date d'apparition :

    ?
  • Détails techniques :

    Détails techniques
    Détails techniques
    Détails techniques
    Détails techniques
    Détails techniques
  • Visuels d'identification :

    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam
    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam

    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam
    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam

    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam
    Décrypter/déchiffrer gratuitement le ransomware/cryptoware SamSam

  • Informations laissées par le cybercriminel (noms des fichiers d'instructions) :


  • Montant de la rançon demandée :


  • Algorithmes de chiffrement (cryptage) utilisés :

    RSA-2048
  • Analyse VirusTotal d'un échantillon :


  • Types de fichiers chiffrés (cryptés) :

    • .3dm
    • .3ds
    • .3fr
    • .3g2
    • .3gp
    • .3pr
    • .7z
    • .ab4
    • .accdb
    • .accde
    • .accdr
    • .accdt
    • .ach
    • .acr
    • .act
    • .adb
    • .ads
    • .agdl
    • .ai
    • .ait
    • .al
    • .apj
    • .arw
    • .asf
    • .asm
    • .asp
    • .aspx
    • .asx
    • .avi
    • .awg
    • .back
    • .backup
    • .backupdb
    • .bak
    • .bank
    • .bay
    • .bdb
    • .bgt
    • .bik
    • .bkf
    • .bkp
    • .blend
    • .bpw
    • .c
    • .cdf
    • .cdr
    • .cdr3
    • .cdr4
    • .cdr5
    • .cdr6
    • .cdrw
    • .cdx
    • .ce1
    • .ce2
    • .cer
    • .cfp
    • .cgm
    • .cib
    • .class
    • .cls
    • .cmt
    • .cpi
    • .cpp
    • .cr2
    • .craw
    • .crt
    • .crw
    • .cs
    • .csh
    • .csl
    • .csv
    • .dac
    • .db
    • .db3
    • .dbf
    • .db-journal
    • .dbx
    • .dc2
    • .dcr
    • .dcs
    • .ddd
    • .ddoc
    • .ddrw
    • .dds
    • .der
    • .des
    • .design
    • .dgc
    • .djvu
    • .dng
    • .doc
    • .docm
    • .docx
    • .dot
    • .dotm
    • .dotx
    • .drf
    • .drw
    • .dtd
    • .dwg
    • .dxb
    • .dxf
    • .dxg
    • .eml
    • .eps
    • .erbsql
    • .erf
    • .exf
    • .fdb
    • .ffd
    • .fff
    • .fh
    • .fhd
    • .fla
    • .flac
    • .flv
    • .fmb
    • .fpx
    • .fxg
    • .gray
    • .grey
    • .gry
    • .h
    • .hbk
    • .hpp
    • .htm
    • .html
    • .ibank
    • .ibd
    • .ibz
    • .idx
    • .iif
    • .iiq
    • .incpas
    • .indd
    • .jar
    • .java
    • .jpe
    • .jpeg
    • .jpg
    • .jsp
    • .kbx
    • .kc2
    • .kdbx
    • .kdc
    • .key
    • .kpdx
    • .lua
    • .m
    • .m4v
    • .max
    • .mdb
    • .mdc
    • .mdf
    • .mef
    • .mfw
    • .mmw
    • .moneywell
    • .mos
    • .mov
    • .mp3
    • .mp4
    • .mpg
    • .mrw
    • .msg
    • .myd
    • .nd
    • .ndd
    • .nef
    • .nk2
    • .nop
    • .nrw
    • .ns2
    • .ns3
    • .ns4
    • .nsd
    • .nsf
    • .nsg
    • .nsh
    • .nwb
    • .nx2
    • .nxl
    • .nyf
    • .oab
    • .obj
    • .odb
    • .odc
    • .odf
    • .odg
    • .odm
    • .odp
    • .ods
    • .odt
    • .oil
    • .orf
    • .ost
    • .otg
    • .oth
    • .otp
    • .ots
    • .ott
    • .p12
    • .p7b
    • .p7c
    • .pab
    • .pages
    • .pas
    • .pat
    • .pbl
    • .pcd
    • .pct
    • .pdb
    • .pdd
    • .pdf
    • .pef
    • .pem
    • .pfx
    • .php
    • .php5
    • .phtml
    • .pl
    • .plc
    • .png
    • .pot
    • .potm
    • .potx
    • .ppam
    • .pps
    • .ppsm
    • .ppsx
    • .ppt
    • .pptm
    • .pptx
    • .prf
    • .ps
    • .psafe3
    • .psd
    • .pspimage
    • .pst
    • .ptx
    • .py
    • .qba
    • .qbb
    • .qbm
    • .qbr
    • .qbw
    • .qbx
    • .qby
    • .r3d
    • .raf
    • .rar
    • .rat
    • .raw
    • .rdb
    • .rm
    • .rtf
    • .rw2
    • .rwl
    • .rwz
    • .s3db
    • .sas7bdat
    • .say
    • .sd0
    • .sda
    • .sdf
    • .sldm
    • .sldx
    • .sql
    • .sqlite
    • .sqlite3
    • .sqlitedb
    • .sr2
    • .srf
    • .srt
    • .srw
    • .st4
    • .st5
    • .st6
    • .st7
    • .st8
    • .std
    • .sti
    • .stw
    • .stx
    • .svg
    • .swf
    • .sxc
    • .sxd
    • .sxg
    • .sxi
    • .sxi
    • .sxm
    • .sxw
    • .tex
    • .tga
    • .thm
    • .tib
    • .tif
    • .tlg
    • .txt
    • .vob
    • .wallet
    • .war
    • .wav
    • .wb2
    • .wmv
    • .wpd
    • .wps
    • .x11
    • .x3f
    • .xis
    • .xla
    • .xlam
    • .xlk
    • .xlm
    • .xlr
    • .xlsb
    • .xlsm
    • .xlsx
    • .xlt
    • .xltm
    • .xltx
    • .xlw
    • .xml
    • .ycbcra
    • .yuv
    • .zip
    • xls
  • Formes des modifications des noms des fichiers (extensions ou préfixes ajoutés, chiffrement) :

    .encryptedRSA
  • Moyens de contact indiqués :


  • Note(s) :


  • Décrypteur(s) gratuit(s) :

  • Outils de recherches de « SamSam »

    Recherches avec les moteurs de recherche protégeant la vie privée (et Google pour comparaison).

    Recherches
    avec
    Qwant
    Recherches
    avec
    DuckDuckGo
    Recherches
    avec
    StartPage
    Recherches
    avec
    SwissCows
    Recherches
    avec
    Framabee
    Recherches
    avec
    YaCy
    Recherches
    avec
    Google
    Tout le WebTout le WebTout le WebTout le WebTout le WebTout le Web
    BleepingComputerBleepingComputerBleepingComputerBleepingComputerBleepingComputerBleepingComputer
    MalwarebytesMalwarebytesMalwarebytesMalwarebytesMalwarebytesMalwarebytes
    EmsiSoftEmsiSoftEmsiSoftEmsiSoftEmsiSoftEmsiSoft
    SpyBotSpyBotSpyBotSpyBotSpyBotSpyBot
    AvastAvastAvastAvastAvastAvast
    AVGAVGAVGAVGAVGAVG
    AviraAviraAviraAviraAviraAvira
    BitdefenderBitdefenderBitdefenderBitdefenderBitdefenderBitdefender
    ComodoComodoComodoComodoComodoComodo
    DrWebDrWebDrWebDrWebDrWebDrWeb
    eScaneScaneScaneScaneScaneScan
    ESETESETESETESETESETESET
    FortinetFortinetFortinetFortinetFortinetFortinet
    F-SecureF-SecureF-SecureF-SecureF-SecureF-Secure
    GDataGDataGDataGDataGDataGData
    KasperskyKasperskyKasperskyKasperskyKasperskyKaspersky
    McAfeeMcAfeeMcAfeeMcAfeeMcAfeeMcAfee
    MicrosoftMicrosoftMicrosoftMicrosoftMicrosoftMicrosoft
    Quick HealQuick HealQuick HealQuick HealQuick HealQuick Heal
    SophosSophosSophosSophosSophosSophos
    SymantecSymantecSymantecSymantecSymantecSymantec
    TrendTrendTrendTrendTrendTrend
    VBA32VBA32VBA32VBA32VBA32VBA32
    WikipediaWikipediaWikipediaWikipediaWikipediaWikipedia














    Recherches
    avec
    Qwant
    Recherches
    avec
    DuckDuckGo
    Recherches
    avec
    StartPage
    Recherches
    avec
    SwissCows
    Recherches
    avec
    Framabee
    Recherches
    avec
    YaCy
    Recherches
    avec
    Google
    VirusTotalVirusTotalVirusTotalVirusTotalVirusTotalVirusTotal

Protection en temps réel obligatoire (Malwarebytes Premium recommandé)

Il ne s'agit pas de décontaminer votre ordinateur après contamination avec un outil faisant une analyse en temps différé (à la demande (« On-demand »)), mais d'empêcher sa contamination, en amont, avec un outil fonctionnant en temps réel (« On-access » ou, mieux, « On-execution »).

Malwarebytes Premium (ou Endpoint) fait les 2 :

  1. pratique le mode « On-execution » (fonctionnement en temps réel en parfaite entente quel que soient les autres outils de sécurité installés)
  2. peut être utilisé à tout moment en mode à la demande (« On-demand ») pour lancer des analyses périodiques

Malwarebytes - Paramétrage - Protection en temps réel de la navigation sur le Web
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») de la navigation sur le Web, dont grâce à hphosts

Malwarebytes - Paramétrage - Protection en temps réel contre les exploits
Malwarebytes - - Paramétrage - Protection en temps réel (« Real time ») contre les exploits

Malwarebytes - Paramétrage - Protection en temps réel contre les malveillances (malwares)
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les malveillances (malwares)

Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les ransomwares et crypto-ransomwares
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les ransomwares et crypto-ransomwares

SamSam 3 - SamSam 3