CryptoLocker : le retour

ransomwareIl semblerait qu’une campagne d’attaque utilisant CryptoLocker soit en cours depuis quelques jours, compte tenu de nombreux appels et messages que nous avons reçus de la part de nos clients et partenaires. Il y a près d’un an, nous avions déjà publié sur ce blog un post sur ce ransomware, soulignant une professionnalisation des cybercriminels utilisant cet outil.

CryptoLocker est, en effet, un ransomware, à savoir un malware ayant pour caractéristique de prendre en otage un ordinateur jusqu’à ce que l’utilisateur paye une certaine somme ou obéisse à certaines instructions. Lorsqu’il est exécuté, le ransomware restreint l’accès au système et affiche, de manière répétée, des messages incitant l’utilisateur à payer une rançon ou à réaliser une action spécifique. D’autres variantes chiffrent les fichiers du disque dur afin d’obliger les utilisateurs à payer pour pouvoir déchiffrer les fichiers importants auxquels ils souhaitent accéder !

Quelle prévention ?

La meilleure approche face à CryptoLocker est la prévention. Il est essentiel d’activer les fonctions d’Analyse comportementale et de Réputation Web sur OfficeScan ou Worry Free Business Security afin d’empêcher la diffusion du malware et de protéger les environnements qui ne sont pas encore infectés. Il est également conseillé d’empêcher la réception ou l’ouverture de pièces jointes pour limiter les risques de nouvelles infections au sein de l’environnement.

Voici une illustration de la chaîne d’infection :

infection2

 

 

 

 

Nous surveillons de façon permanente les nouveaux cas d’infection et mettons à jour les politiques de sécurité en vue de prévenir l’infection par des malware similaires. À noter que nous avons ajouté à notre base de données les nouvelles signatures suivantes qui préviennent les infections liées notamment à la nouvelle version de CryptoLocker:

  • TROJ_CRILOCK.SMA
  • TROJ_RANSOM.SMLD

Les spécificités de cette variante

Le scan en temps réel proposé par les produits Trend Micro supprime efficacement cette variante du malware une fois détectée. Cependant, la restauration des fichiers chiffrés est presque impossible, et c’est précisément une des caractéristiques de cette nouvelle variante, par rapport aux précédentes : nous avons réexaminé la méthode de chiffrement du malware et il s’agit d’une combinaison d’AES et de RSA. Pour résumer, le malware génère une clé AES aléatoire (utilisée pour le chiffrement des données), puis chiffre cette clé via une clé publique RSA. La clé privée RSA est ainsi nécessaire pour déchiffrer la clé AES aléatoire, or elle n’est disponible que pour le créateur du malware. Avec cette méthode, il est quasiment impossible de déchiffrer les fichiers.

Nos recommandations

Trend Micro vous recommande de suivre les instructions détaillées dans son article « Best practices in preventing Ransomware infection using OfficeScan (OSCE) and Worry-Free Business Security (WFBS) » pour réduire les risques d’infection et, plus généralement, limiter l’exposition de vos systèmes.

A noter que l’outil AntiRansomware Tool est également proposé en téléchargement à ceux qui ne disposent pas d’OfficeScan ou de Worry-Free Business Security.

Pour plus d’informations

Si vous souhaitez en savoir plus sur une variante précise, nous disposons des rapports d’analyse comportementale suivants pour différentes variantes de CryptoLocker:

Leave a Reply

Your email address will not be published. Required fields are marked *