Un crypto-ransomware qui cible Windows 7 et versions ultérieures… mais qui oublie XP

Ransomeware04-300x300Fort heureusement pour nous, le ransomware présente parfois de sérieuses lacunes. C’est le cas de ZCRYPT qui n’est pas compatible Windows XP. Ce nouveau ransomware ne cible que les PC équipés de versions plus récentes de Windows. Volonté délibérée ou erreur de conception de la part des auteurs de ce ransomware ?

Un crypto-ransomware néanmoins actif

ZCRYPT  chiffre certains fichiers présents sur le système l’utilisateur infecté, en y ajoutant une extension  .ZCRYPT. Les formats de fichiers suivants sont menacés :

.zip, .mp4, .avi, .wmv, .swf, .pdf, .sql, .txt, .jpeg, .jpg, .png, .bmp, .psd, .doc, .docx, .rtf, .xls, .xlsx, .odt, .ppt, .pptx, .xml, .cpp, .php, .aspx, .html, .mdb, .3fr, .accdb, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .dwg, .dxg, .eps, .erf, .indd, .kdc, .mdf, .mef, .nrw, .odb, .odp, .ods, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .pst, .ptx, .r3d, .raf, .raw, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .tar, .jsp, .mpeg, .msg, .log, .cgi, .jar, .class, .java, .bak, .pdb, .apk, .sav, .tar.gz, .emlx, .vcf

Le malware menace l’utilisateur de supprimer ses fichiers en cas de non-paiement d’une rançon sous une semaine. La rançon est de 1,2 bitcoin initialement, puis passe à 5 bitcoins au bout de 4 jours. La demande de rançon s’affiche comme suit :

zcrypt-tbFigure 1. Demande de rançon

D’après nos analyses, ce ransomware ne parvient à chiffrer les fichiers et à afficher la demande de rançon sur des versions antérieures de Windows, à l’image de Windows XP. En effet, le malware fait appel à une fonction qui n’existe pas dans ces versions anciennes de Windows.

D’autre part, point important, le malware tente de proliférer via des mémoires flash USB en s’y copiant. Ceci est assez rare pour un crypto-ransomware, même si nous avions déjà détecté un tel comportement en décembre 2013 pour une variante de CryptoLocker . Il semble que les concepteurs de crypto-ransomware se contentent de distribuer leur malware via ces vecteurs classiques que sont le malvertising et le spam.

Serveurs Command & Control

Le nom de domaine du serveur command & control (C&C) est poiuytrewq.ml, une inversion de qwertyuiop, à savoir les touches supérieures d’un clavier QWERTY mis à la suite. Le domaine de premier niveau est un .ml associé au Mali. L’enregistrement de noms de domaine en .ml est gratuit depuis avril 2013. Les URLs hébergeant les variantes de ZCRYPT sont également sur des domaines en .ml. Les concepteurs de la menace restent anonymes puisque l’enregistrement de domaine masque l’identité du requérant.

Bonnes pratiques

La sauvegarde des données reste la meilleure parade contre les crypto-ransomware; la règle des 3-2-1 (3 copies de sauvegarde de vos données sur 2 supports différents, avec 1 de ces copies stockée en un lieu distinct et sécurisé). Les utilisateurs disposent ainsi d’une copie de leurs données pour restauration en cas d’infection. Nous vous recommandons de ne pas payer la rançon. Le contraire constituerait un encouragement à faire proliférer la menace.

Les solutions Trend Micro

Trend Micro offre des solutions de sécurité dédiées aux grandes entreprises, aux PME et au grand public, pour maîtriser le risque d’infection par des ransomware tels que ZCRYPT.

Les entreprises doivent déployer une sécurité multicouche pour neutraliser les ransomware et les risques associés. Les solutions de sécurité pour passerelles email et Web, à l’image Trend Micro™ Deep Discovery™ Email Inspector et d’InterScan™ Web Security, neutralisent les ransomware en amont des utilisateurs finaux. Au niveau du poste de travail, Trend Micro Smart Protection Suites offre de nombreuses fonctionnalités, comme le monitoring comportemental, le contrôle applicatif ou la prise en charge des vulnérabilités. Trend Micro Deep Discovery Inspector identifie et neutralise les ransomware présents sur le réseau, tandis que Trend Micro Deep Security™ protège les serveurs physiques, virtualisés et Cloud de l’entreprise.

Pour les petites entreprises, Trend Micro Worry-Free Services Advanced offre la solution de sécurité email Hosted Email Security, basée dans le Cloud. La protection des Endpoints est également assurée via un monitoring comportemental et des services de réputation Web en temps réel qui détectent et neutralisent les ransomware.

Quant au grand public, il est invité à tester Trend Micro Security 10, un antimalware capable de combattre les ransomware, en neutralisant l’accès aux sites web, aux emails et aux fichiers associés à cette menace.

Trend Micro propose également des outils gratuits : Trend Micro Lock Screen Ransomware Tool, pour détecter et supprimer les ransomware qui verrouillent les écrans, ainsi que Trend Micro Crypto-Ransomware File Decryptor Tool, qui peut déchiffrer les fichiers piratés par certaines variantes de crypto-ransomware, sans règlement de rançon et sans clé de déchiffrement.

Les clients de TippingPoint sont protégés à l’aide du filtre ThreatDV suivant :

24733: HTTP: Ransom_ZCRYPT.A

 

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *