Ransomwares

Fermé
buckhulk Messages postés 13690 Date d'inscription dimanche 21 septembre 2008 Statut Contributeur Dernière intervention 14 novembre 2020 - Modifié par Malekal_morte- le 6/06/2016 à 19:40
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 6 déc. 2016 à 00:06
Bonjour,

quelques nouvelles sur certains ransomwares :

Petya
et :
Jigsaw

^^



Les questions montrent l'étendue de l'esprit , les réponses : sa finesse 
Il y a toujours quelqu'un qui sait ce que tu ne sais pas *Helper* *Contributeur/Sécurité*

34 réponses

Utilisateur anonyme
8 mai 2016 à 09:23
bonjour,

nous sommes plusieurs à tester les différentes variantes de Ransomwares avec les outils actuellement disponibles sur le net en machine virtuelle ou réelle !


tous ces infections sont en général détectées par les antivirus !

exemple avec Windows defender 10 :



Comme ceci a été dit plus haut, pour Petya, il est possible de déloquer la situation avec l'outil proposé ici

à lire :

https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/


pour les Tesla, il y a plusieurs variantes :



Cette variante qui remplace les extensions des fichiers en Crypt (CryptXXX / RSA 4096) est déchiffrable avec l'outil de Kaspersky mais :

cet outil ne déchiffre pas les fichiers compressés (Zip, Rar, ..) et tous les fichiers au format vidéos.

cette variante ne touche pas aux fichiers dans la corbeille.

pour pouvoir déchiffrer les données, l'outil demande une copie chiffrée et une copie saine.

après le scan, l'outil restaure, dans la mesure du possible, les fichiers à leur emplacement.

Note :

Dans les paramètres de l'outil proposé par Kaspersky, il ne faut surtout pas cocher la case de suppression des fichiers originaux (Chiffrés) au cas ou d'autres outils feraient leur apparition permettant de récupérer les données .

après le passage de l'outil, on voit bien que les fichiers sont déchiffrés à leur emplacement :



Note :
Vu que je suis un joueur, j'ai laissé une page de Petya dans mon dossier (La tête de mort :P )

pour cette variante testée, après chaque redémarrage, une page de demande de rensom s'affiche, cette page pointe vers un fichier et un lien en Html :

2016-04-30 19:27 - 2016-04-30 19:27 - 01348854 ____T C:\ProgramData\B37F42F84691.bmp
2016-04-30 19:27 - 2016-04-30 19:27 - 00014453 _____ C:\ProgramData\B37F42F84691.html
Startup: C:\Users\VM de tests\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\659F660B091D.lnk [2016-04-30]2016-04-30 19:27 - 2016-04-30 19:27 - 1348854 ____T () C:\ProgramData\B37F42F84691.bmp
2016-04-30 19:27 - 2016-04-30 19:27 - 0014453 _____ () C:\ProgramData\B37F42F84691.html
2016-04-30 19:27 - 2016-04-30 19:27 - 0014453 _____ () C:\ProgramData\B37F42F84691.html


on peut fixer ces lignes pour ne plus avoir le message au démarrage.


pour une autre version de tesla, l'extension des fichiers reste intacte, mais les fichiers sont chiffrés quand même (Non lisible).



un autre outil nommé "Shadow explorer" permet parfois de récupérer les fichiers chiffrés selon les variantes de tesla.

il faut tester selon la variante de l'infection installée sur le pc, donc tout ceci reste sous condition de tomber sur le bon outil !

à noter que toujours selon les variantes, les Shadow explorer sont parfois supprimés, la restauration système désactivée.

Attention :

Ces infections chiffrent aussi les données sur les supports externe connectés au pc au moment de chiffrement des données.

sur ce, Have Fun :-)

4
buckhulk Messages postés 13690 Date d'inscription dimanche 21 septembre 2008 Statut Contributeur Dernière intervention 14 novembre 2020 1 757
8 mai 2016 à 10:02
Super !!! ;)

^^
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 8/05/2016 à 11:19
tous ces infections sont en général détectées par les antivirus !

Mouais.. il y a quand même une différence avec Windows Defender qui est largement battu (c'est que si on récup un sample 3 semaines après, ça ne se voit pas).
Mais au moment T de la campagne, Windows Defender est souvent battu...
De ce que j'ai vu parfois il leur faut 2 jours pour ajouter une détection...

Exemple là :
https://forum.malekal.com/viewtopic.php?t=54467&start=15#p419283
https://forum.malekal.com/viewtopic.php?t=53347&start=#p410436
etc..

Bref celui qui a un Windows Defender tout seul est quand même plus vulnérable.
0
Utilisateur anonyme
8 mai 2016 à 19:56
pour cette variante de "Jigsaw" qui change les extensions des fichiers en .Fun !

l'antivirus le choppe direct dés son arrivée sur le pc !
(testé avec Windows defender 10, Avast et AVG, par contre, Avira le laisse passer) !


déjà, il faut avoir Framework 3,5 sur le pc pour que le truc se lance !



pour le tester en VM, je l'ai installé ! (Pourquoi pas !)

puis lancé le dropper, étrange message qui s'affiche :



puis le truc s'installe avec un processus nommé "Firefox" laissant 1h00 à la victime pour achter ces fameux bitcoin, l'image reste en résidant et premier plan, seule solution de s'en défaire est de passer par le gestionnaire de tâches et arrêter le processus Firefox :



Contrairement à certaines variantes de Tesla, jigsaw chiffre même les fichiers dans la corbeille :



bref, bilan :

tous les fichiers format .txt, .zip, .rar, .jpg, .png, .xlsx, .docx, .pdf et .doc sont transformés en .fun
pareil pour les fichiers dans la corbeille

il ne touche pas aux extensions des fichiers : .bmp, Mp3 et format vidéo (Avi, mpeg, ...) mais les fichiers sont chiffrés.

après le lancement de l'outil Jigsaw decrypter et en sélectionnant l'emplacement des fichiers, certains ont été déchiffrés, mais pas tout !




les fichiers .mp3 et avi (je suppose qu'il y en a d'autres de ce genre format vidéo) ne seront toujours plus lisibles, un message erreur apparaît :



pour pouvoir lire ces fichiers, il faut modifier le lecteur par défaut :





Have Fun :-)

1
Petya modifié :

https://www.bleepingcomputer.com/news/security/petya-is-back-and-with-a-friend-named-mischa-ransomware/

Edit :

nouvelle variante de Jigsaw qui ajoute les extensions en .porno :

https://www.bleepingcomputer.com/news/security/jigsaw-ransomware-becomes-cryptohitman-with-porno-extension/

Tesla Crypt 4.2 :

https://www.bleepingcomputer.com/news/security/teslacrypt-4-2-released-with-quite-a-few-modifications/



O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
1
Utilisateur anonyme
21 mai 2016 à 10:49
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 21/05/2016 à 10:59
En vidéo et en français : https://www.youtube.com/watch?v=XAhKgXyFxJs =)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
A l'attention de toutes les personnes étant touchées par TeslaCrypt version 3.0 à 4.2 :

Eset a mis à la disposition des internautes touchés par cette infection un outil permettant de déchiffrer les données :

https://support.eset.com/en/kb6051-how-do-i-clean-a-teslacrypt-infection-using-the-eset-teslacrypt-decrypter

Source : https://korben.info/ransomware-teslacrypt-dechiffrement-enfin-possible.html


on essayera de le tester sur CryptXXX pour voir s'il fonctionne là dessus !

O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 26/05/2016 à 07:34
Oui déjà dit plus haut, TeslaDecoder est aussi suffisant.
Voir cette fiche avec vidéo explicative pour récupérer ses documents : https://forum.malekal.com/viewtopic.php?t=53943&start=#p420280

> https://www.youtube.com/watch?v=XAhKgXyFxJs
0
Utilisateur anonyme
6 juin 2016 à 18:42
Trend Micro a mis au point un déchiffreur pour Tesla Crypt (v1-> v4) et CryptXXX (v1 et v2, v3??)

https://success.trendmicro.com/solution/1114221

si on tombe sur un dropper de la dernière version, on le testera et mettra le résultat pour ceux que ça intéressent !

1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
6 juin 2016 à 19:25
La dernière version de CryptXXX, c'est la 3.1 et l'extension est .cryp1 : crypt1 - ransomware crypt1.
Donc ça ne fonctionnera pas avec "un dropper de la dernière version".
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
10 juin 2016 à 15:13
0
SATANA !

très très méchant !

cette infection est chopée par les antivirus et dont Windows defender 10 !

pour faire ce test, j'ai tout désactivé !

Infection de type Bootkit, à mi chemin entre Petya et CryptXXX,

MBR supprimé, donc sous W10, écran noir au démarrage et après la lancement de bios (rien s'affiche) !

le droper lancé s'auto-supprime, un autre fichier exe est créé et reste en mémoire (nom de fichier aléatoire) :



de multitudes de fichiers sont créés dans le répertoire temp :




le nom de fichier exe change et la page de démarches à suivre s'affiche :





si on clique sur Ok, le pc redémarrer et on n'a plus accès au disque dur !

Après avoir chopé cette infection, il faut réinstaller Windows car non seulement, les fichiers sont cryptés, de plus, le MBR est manquant (Attention, elle touche aussi l'UEFI et UFI) !


pensez à sauvegarder vos fichiers ou créer une image système !

:-)

Edit :

à lire :

https://www.bleepingcomputer.com/news/security/satana-bootkit-encrypts-your-files-and-then-locks-you-out-of-windows/



O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
1
Est-ce que l'on sait comment il s'attrape ?? 


pour la manière d'attraper, toujours pareil, un mail et une pièce jointe (avec un macro de word ou excel, un script VBA java ....)

N'est-ce pas fait pour compenser la gratuité de Windows 10 ?????  


on est à la fin de la période de gratuité, mais franchement, je n'en sais rien !

pour le CD de démarrage, il vaut mieux partir sur une image système !

pour ces dernières infections qui deviennent de plus en plus virulentes, il faut surtout travailler sur les supports externes de sauvegardes.

pour partage, il y a le lien de Blleping qui est pas mal :

https://www.bleepingcomputer.com/news/security/satana-bootkit-encrypts-your-files-and-then-locks-you-out-of-windows/

je lance une machine réelle dans un petit moment pour voir comment virer le Bootkit et récupérer les fichiers !


O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
1
Utilisateur anonyme
17 juil. 2016 à 13:48
comme promis, test fait en machine réelle sous W10 32 bit en Legacy !

ces informations sont issues de la machine, avant le redémarrage :

2 processus lancés depuis le registre :

O4 - HKCU\..\Run: [uhekujyp] . (...) -- C:\Users\DD de tests\AppData\Local\Temp\!satana!.txt
O4 - HKUS\S-1-5-21-3251347311-3822445288-4011891096-1001\..\Run: [uhekujyp] . (...) -- C:\Users\DD de tests\AppData\Local\Temp\!satana!.txt


Roguekiller trouve ceux ci :

¤¤¤ Registre : 2 ¤¤¤
[Suspicious.Path|VT.Unknown] HKEY_USERS\S-1-5-21-3251347311-3822445288-4011891096-1001\Software\Microsoft\Windows\CurrentVersion\Run | uhekujyp : C:\Users\DDDETE~1\AppData\Local\Temp\!satana!.txt [-]

[PUM.Proxy] HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\00-07-cb-c7-2d-09

[BSP] 168c45b30bb5cc5af3fb4041c5291827 : Root.Bitlock2|VT.Unknown MBR Code [Malware!]


tous les fichiers ne sont pas chiffrés, juste certains !

les fichiers originaux sont toujours à leur place, certains accessibles !

du moment ou on n'a pas cliqué sur Ok, à l'affichage de la page de demande de connexion, le pc ne démarre pas, donc reste accessible, il suffit de fermer cette fenêtre !


Remarque :

Sans redémarrage du pc (si si, on arrive :P) , il est fort possible de réparer le Bootkit et au moins, sauver le système avec un outil comme Roguekiller !


Après le redémarrage :

Comme je l'ai noté plus haut, le pc ne démarre plus (Sous W10 32 ou 64 bit), écran noir au démarrage avec seul curseur en haut à gauche de l'écran) !

on a toujours accès aux données du disque en le mettant en externe !

un fichier nommé !satana!.txt s'incruste dans tous les recoins du disque dur !

les Cd live n'ont pas bien fonctionné pour mes tests !

Les points de restauration système sont supprimés,

j'ai tenté de réparer le démarrage et le système, voir même remettre le MBR, mais sans succès !, seule solution qui a fonctionné est de supprimer toutes les partitions et réinstaller W10 !

maintenant, vous savez à quoi vous attendre :P

Sur ce, Have Fun pour d'autres tests avec d'autres droper :-)
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
27 sept. 2016 à 13:26
hello

O4 - HKCU\..\Run: [uhekujyp] . (...) -- C:\Users\DD de tests\AppData\Local\Temp\!satana!.txt
O4 - HKUS\S-1-5-21-3251347311-3822445288-4011891096-1001\..\Run: [uhekujyp] . (...) -- C:\Users\DD de tests\AppData\Local\Temp\!satana!.txt

ce sont les deux mêmes clés
0
Utilisateur anonyme > g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022
28 sept. 2016 à 12:21
salut pascal,

oui, il s'agit de la même clé :-)
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
28 sept. 2016 à 16:27
salut elec' :)

comme tu parlais de deux processus lancés.....
0
Utilisateur anonyme
10 sept. 2016 à 21:37
j'ai eu le dropper et testé ce bousin !

bon, pas très joyeux !

au lancement, il fait tourner le DD à fond la caisse pour chiffrer les données sous forme de mise à jour de Windows updates :



à noter qu'on n'a pas accès au gestionnaire de taches, mais il y a 7 processus avec le nom "Critical Windows updates" qui tourne en arrière plan !

cette page s'affiche et bloque l'accès au pc pendant le lancement de l'infection, il impacte même le graveur (affichage d'un message des fichiers en attente de gravure) !



l'UAC demande si on autorise les changement sur le pc, bon joueur que je suis, je l'ai autorisé :



après avoir chiffré les données, l'infection me laisse la main sur le pc et je vois les fichiers en attente de gravure, juste la page de demande de ransom, donc ça peut impacter aussi ce qui est branché sur le pc comme support externe par exemple !



j'ai enfin eu la page de demande de ransom avec le tralala habituel et pas mal de fautes !



tous les fichiers (sauf les .exe) sont chiffrés, Shadow copies supprimés !

j'avais pris soin d'activer la restauration système et créer un point pour tester cette variante, la restauration système n'est pas désativée, par contre la restauration des fichiers est impossible !



la restauation s'est bien passé, mais mes fichiers ne sont pas restaurés, donc pas très utile de restaurer !





sur ce, Have Fun pour les prochains tests :-)

1
je me suis amusé avec ce truc !

si on n'a pas Visual C++ sur le pc, ce truc ne se lancera pas !

j'avais déjà constaté ceci en testant une autre variante !








0
on a joué un peu avec la version .Odin :




le truc chiffre tout, rien est laissé derrière (données).

le système reste intact. Le pc ne rame pas trop, seul les fichiers de l'utilisateurs sont chiffrés.



Récupération des données chiffrées est possible sous conditions préalable avant l'infection :

- la restauration système doit être active, un point de restauration système (au moins) doit être présent avant l'infection.

- à l'aide de Shadow explorer, la récupération des fichiers fait sans soucis.


Have Fun pour d'autres bousins à tester !

O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 14/05/2016 à 10:22
Salut,

Mouaip, ce sont des ransomwares très médiatisés mais dont la portée reste limité, surtout en France.

J'ai fait ce dossier sur les ransomwares.
Vous avez aussi l'excellent site : https://stopransomware.fr/

Une liste est présente là : http://forum.malekal.com/ransomware-f98.html
et encore ce sont les plus répandus, car il y en a vraiment vraiment beaucoup.

En France, les plus répandus sont :
- Locky.
- Cerber.
- TestlaCrypt.
- CryptXXX (une solution est possible pour récupérer les documents, même si ça risque de ne plus fonctionner avec les prochaines versions).
- les variantes Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure) qui peuvent, elles, aller par des attaques Bruteforce RDP.

Comme expliqué dans le dossier plus haut, ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

Pour limiter la portée des emails malicieux, il faut désactiver les scripts sur Windows.
Pour les Web Exploit, maintenir ses programmes à jour et éviter de surfer avec Internet Explorer.
Marmiton est fait pour cela : Pour se protéger/limiter, il y a Marmiton

PS : pour Criakl, certains vont par des attaques RDP sur les serveurs.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
buckhulk Messages postés 13690 Date d'inscription dimanche 21 septembre 2008 Statut Contributeur Dernière intervention 14 novembre 2020 1 757
7 mai 2016 à 09:27
J'ai fait ce dossier sur les ransomwares. 


Oui vu mais c'est aussi pour compléter ? peut-être....?

^^
0
makitoch Messages postés 730 Date d'inscription samedi 14 juin 2014 Statut Membre Dernière intervention 28 octobre 2020 78
7 mai 2016 à 20:15
oui dernièrement il adore également passer par les macros de PDF et autre....
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > makitoch Messages postés 730 Date d'inscription samedi 14 juin 2014 Statut Membre Dernière intervention 28 octobre 2020
Modifié par Malekal_morte- le 8/05/2016 à 11:31
Les PDF n'embarquent pas de macros mais peuvent embarquer du JavaScript qui étaient utilisés d'ailleurs en 2008 dans des Web Explotti via Adobe Reader, ce sont les documents Offices qui embarquent des macros.
Deux méthodes sont utilisées dans les campagnes d'emails :
- les documents office avec macros (bien que souvent il s'agit de Cridex)
- des Javascript.

voir cette vidéo : https://www.youtube.com/watch?v=z7UdWiNkzcI

Pour se protéger/limiter, il y a Marmiton et en plus, ça protégera contre les infections amovibles Worm.VBS.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
13 mai 2016 à 16:13
J'ai modifié le dossier des Ransomwares / Rançongiciel pour parler des MBR même si la portée de Petya reste très limité en France.

Une vidéo qui montre l'installation de Petya Ransomware : https://www.youtube.com/watch?v=vzte2OQHfUk
0
makitoch Messages postés 730 Date d'inscription samedi 14 juin 2014 Statut Membre Dernière intervention 28 octobre 2020 78
6 mai 2016 à 11:54
merci de l'info ^^
0
buckhulk Messages postés 13690 Date d'inscription dimanche 21 septembre 2008 Statut Contributeur Dernière intervention 14 novembre 2020 1 757
8 mai 2016 à 08:23
Bonjour,

pour "contrer Jigsaw : JigSawDecrypter

- Ne pas oublier de désactiver son antivirus....

^^


0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 8/05/2016 à 11:20
il y a déjà une V2 pour ce ransom depuis un moment : https://forum.malekal.com/viewtopic.php?t=54923&start=#p418815 qui va faire que la récupération est impossible.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 8/05/2016 à 13:27
Comme cela est mentionné sur le dossier Ransomware / Rançongiciel.
Certains de ces ransomwares vont par des attaques RDP sur les serveurs.

J'ai ouvert une actualité autour de ces attaques de ransomwares qui se font par ce protocole : attaques Bruteforce RDP.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 13/05/2016 à 13:44
CryptXXX V2 est sorti, le tool de Kaspersky ne fonctionne plus.
=> Voir Fiche CryptXXX - Ransomware RSA4096

CryptXXX a des fonctionnalités de Winlocker, puisqu'il peut bloquer l'accès au bureau.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
13 mai 2016 à 19:59
Fiche CryptXXX mise à jour, le tool de Kaspersky a été mis à jour et gère CryptXXX V2.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
21 mai 2016 à 00:44
A nouveau inefficace.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
26 mai 2016 à 07:34
la v3 de CryptXXX est sortie.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 12/05/2016 à 13:50
Du côté de Locky, les binaires sont hébergés sur des sites magento piratés.
J'ai fait une petit vidéo : https://www.youtube.com/watch?v=8hc2cs93ibg

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 17/05/2016 à 16:56
Qu'est-ce qu'on s'amuse.....

https://blog.f-secure.com/category/threats-research/
https://twitter.com/campuscodi/status/732552766229471232

c'est marrant la distorsion entre les annonces et la réalité.

Le fichier en question est quand même à 15 détections sur VT : https://www.virustotal.com/gui/file/d61cc83776547e2c5f3b1ca4b2b6e3e8eb3d43a094a0c8fef2a61050f474081c
alors qu'il s'agit d'un simple msgbox avec une image embarquée.
On voit que les AV ajoutent des détections auto n'importe comment #modeSkynet \o/

et sinon dans le genre article insipide qui en plus raconte n'importe quoi (clef Locky), le ponpon revient au Figaro ... : https://www.lefigaro.fr/secteur/high-tech/2016/05/16/32001-20160516ARTFIG00061-comment-se-premunir-contre-le-rancongiciel-locky.php

avec l'habituel "FAUT AVOIR UN ANTIVIRUS A JOUR".... surtout Windows Defender...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
17 mai 2016 à 23:18
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
18 mai 2016 à 18:00
un autre "blabla" sur les hacks Locky : https://storify.com/BelchSpeak/the-dridex-avenger-strikes-again
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 mai 2016 à 13:06
Les .js Locky modifiés pour tenter de bloquer les problèmes de pirates des Payload : https://www.malwaretech.com/2016/05/dridex-updates-payload-distribution.html

M'est d'avis, que ça ne générera en rien :P
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
23 mai 2016 à 17:28
Le binaires mis en lignes sur les sites piratés sont maintenant offusqués : https://twitter.com/malekal_morte/status/734667874359468032
(comprenez illisible, vous téléchargez ce dernier, vous l'exécutez ça mettra une erreur car pas format PE).

Le JS s'occupe de dé-offusquer le fichier téléchargé avant de le faire exécuter sur l'ordinateur.

Cela permet :
- d'empêcher la récupération massive par des personnes pour les envoyer aux antivirus. Répertorier les URLs etc.
- empêcher le remplacement des binaires par celui qui mettait une alerte, puisque le JS va faire une opération dessus et va corrompre ce dernier.
La personne au bout aura un message disant que le fichier est corrompu, c'est toujours mieux que d'avoir le ransomware Locky.

Apparemment, cela n’empêche pas le remplacement du binaire par une version safe qui a été aussi offusquée, puisqu'on continue à avoir le message d'alerte.
Reste que la clef XOR utilisée va surement changer régulièrement, ce qui oblige les personnes qui remplace l'exe a suivre cette clef.

On voit que Locky a pris très aux sérieux le remplacement des .exe malicieux =)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
18 mai 2016 à 22:21
Il est maintenant possible de récupérer les fichiers TeslaCrypt toute variantes confondus :

Récupérer fichiers .micro, .jpg, .mp3 avec TeslaDecoder.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 27/05/2016 à 08:36
J'ai ajouté une fiche Ransomware Zcrypt mais bon, je ne pense pas qu'il va être très actif en France.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
27 mai 2016 à 10:49
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
27 mai 2016 à 23:34
tiens d'ailleurs, Uptobox dirige vers une régie pourrie qui charge un WebExploit Kit avec Cerber au bout : https://www.malekal.com/ransomware-cerber/
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
Modifié par Malekal_morte- le 10/06/2016 à 15:14
Les campagnes sur Uptobox etc continuent.
Cerber modifie maintenant le fond d'écran et intègre un antivm.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
12 juin 2016 à 12:02
Mise à jour de : https://www.malekal.com/ransomware-cerber/
D'autres régies publicitaires pour pousser des malvertising et https://forum.malekal.com/viewtopic.php?t=48799&start=#p421268Magnitude ExploitKit]
0