Cryptowares et ransomwares : quelques évolutions

Le premier cryptoware officialisé se nommait AIDS en 1989, celui-ci demandait à l'époque un paiement de la rançon par voie postale. Cette forme de malveillance a évolué et devient depuis quelques années un vecteur de plus en plus utilisé et lucratif. Beaucoup de personnes et d'organisations payent maintenant la rançon et l’utilisation du Bitcoin simplifie la gestion de l'argent dérobé par le biais de cette pratique. Au travers de deux exemples, examinons l’évolution des cryptowares / ransomwares et rappelons quelques règles simples de protection.

Petya ou le chiffrement direct du disque

Concernant Petya, nos incubateurs ont lancé des générations de ce malware depuis le 25 mars 2016. Ce cryptoware possède la particularité de placer sa routine de chiffrement dans le secteur de démarrage du disque principal (MBR), afin de chiffrer le disque (la MFT plus précisément). Les cryptowares ont pour habitude de chiffrer les données utilisateurs en direct, laissant le poste utilisable pour payer la rançon. Dans le cas de Petya, l’ordinateur sera inopérable et demandera l'utilisation d'un autre terminal pour payer la rançon.

Pour réaliser ceci le malware demande une autorisation UAC pour obtenir le droit d’écriture sur le Master Boot Record (ou MBR, la zone de démarrage du disque, le \\.\PhysicalDrive0 dans l’image ci-dessous) :

Ensuite l'écriture du code d’amorçage sur le MBR, chargé de chiffrer le disque et de demander la rançon, est effectuée en plusieurs fois sans doute pour ne pas alerter l’antimalware de poste :

Une fois le programme de chiffrement du disque installé le cryptoware force le redémarrage immédiat en générant une erreur système (écran bleu) via une API ntdll :

Le malware lancera alors son processus de chiffrement du disque proprement dit en se faisant passer pour un faux checkdisk. Une fois le chiffrement du disque réalisé il affichera sa demande de rançon au redémarrage suivant:

Salam : plus vous tardez plus vous payez !

Dans une catégorie innovante un autre cryptoware, baptisé Salam, s'est distingué récemment par un process de paiement de rançon incrémentiel qui augmente à mesure si l'utilisateur tarde à payer :

Quelques éléments de protection contre les cryptowares

Même si le principe de chiffrement du disque est original, l’impact de Petya est à relativiser pour deux raisons :

  • Petya est relativement bien détecté par les antimalwares qui ont été habitués dans le passé à ce genre de comportements bas niveau sur les malwares de type bootkits.
  • Contrairement aux cryptowares récents (Teslacrypt & Locky), Petya ne s'attaque qu'à la surface du disque principal et ne cible pas les lecteurs réseaux et disques annexes.

Quant à Salam il existe déjà des méthodes de prophylaxie disponibles sur la toile. Donc si votre antimalware est pro-actif et à jour vous devriez ne pas être trop être inquiété par cette génération de cryptowares.

Pour se protéger contre ces cryptowares au sein d’une entreprise il existe des parades à plusieurs niveaux :

  • Avoir un antimalware à jour sur l’ensemble des postes de travail est le minimum minimorum de la sécurité de l’entreprise. C’est une lapalissade, mais cela va mieux en me disant !
     
  • Augmenter la sécurité de sa messagerie. Cela a déjà été dit, la sécurité de la messagerie est primordiale car les infections massives se propagent encore en priorité par mail !
     
  • Personnaliser la sécurité au niveau du transit et de la proximité des données critiques, ceci via des droits, process et sondes spécifiques afin de pouvoir effectuer une protection, une détection et proposer rapidement un plan de riposte adapté.
     
  • Concernant les sauvegardes, il est important qu'elles soient externalisées et non disponibles sur le système (comme sur un disque externe débranché), afin qu'un cryptoware ne puisse y avoir accès pour les chiffrer. De plus, il est important de tester de temps à autre ces sauvegardes. En effet certains supports (comme les bandes magnétiques) ou process (sauvegardes incrémentielles par chainons) peuvent avoir des défauts dans le temps et poser un problème le moment venu.

Pour une entreprise, les cryptowares, aussi néfastes soient-ils, sont une menace qui a l'avantage d'être directement visible, contrairement à des codes d'espionnages qui se révèlent au final plus discret et dangereux car agissant sur une plus longue période.

 

Laboratoire d'Epidémiologie et Signal Intelligence

Laboratoire d'Epidémiologie & Signal Intelligence

.