Une nouvelle variante du ransomware Onion a fait son apparition vous le connaîtrez peut-être sous le nom de CTB-Locker ou Citroni. Il s'agit d'un ransomware polymorphique avec un mécanisme anti-émulation. La désignation Kaspersky est Trojan-Ransom.Win32.Onion. Une de ses particularités est que les serveurs de commande et de contrôle (C&C) sont cachés dansle réseau Tor compliquant la recherche des cybercriminels. Il se caractérise également par l'utilisation d'un schéma cryptographique orthodoxe (compression + l'algorithme Diffie-Hellman) rendant le déchiffrement impossible.

Afin de ne pas être détecté, CTB évite également les machines virtuelles que les chercheurs utilisent afin d'analyser en toute sécurité les malwares et de ne pas les exécuter dans ces environnements.

Une fois infecté, il est impossible de récupérer des fichiers chiffrés par CTB-Locker. Vous pourriez payer la rançon mais outre le fait que la cybercriminalité devient un business de plus en plus professionnel et orienté vers ses clients, il n'y a aucune garantie que vous recevrez la clé pour déchiffrer vos fichiers.

  • La meilleure ligne de défense contre les #ransomwares c'est d'avoir réalisé une sauvegarde de votre machine la veille.

La propagation se faisant par campagne de spams, rappelons quelques précautions d'usage :

  • Renforcer les filtres en amont - filtrage des flux SMTP/POP3/IMAP/MAPI avec moteurs antivirus, antispam, antiphishing?
  • Changer sa politique de pièces jointes - être très restrictif en terme de format accepté
  • Revoir/vérifier sa gestion des droits (GPO, Share?)
  • Utiliser les dernières versions de KES (ne plus utiliser par exemple KAV6MP4 !)
  • Activer System Watcher (impératif)
  • Activer Kaspersky Security Network
  • Activer ??Antivirus Courrier' avec gestion des PJ locales (supprimer toutes les extensions non nécessaires)
  • Eduquer les utilisateurs !!! Ne pas ouvrir les fichiers ZIP (ou autres) provenant d'un utilisateur inconnu
  • Sauvegarder - sauvegarder - sauvegarder !

Description - Les Ransomwares

Les Ransomwares sont une variété de malwares qui, une fois qu'ils ont infecté un ordinateur, affirment en avoir chiffré les données avant de bloquer l'ordinateur de la victime. Le malware informe ensuite l'utilisateur infecté qu'il ou elle doit payer une rançon afin de déverrouiller ses fichiers.

Certains programmes de chiffrement utilisent la technologie de cryptographie à clé publique, une méthode fiable pour la protection de la communication de données sensibles.

Cependant, elle est également utilisée par les cybercriminels dans des programmes malveillants (Ransomwares) qui cryptent les données des utilisateurs de telle manière qu'elles ne peuvent être déchiffrées sans une clé spéciale «privé». (AES / RSA jusqu'à 2048 bits)

Les cybercriminels exigent habituellement de l'argent, une « rançon » en échange de cette clé, généralement sous la forme de Bitcoins. Malheureusement, il est pratiquement impossible de déchiffrer les données sans la clé privée.

Les méthodes de chiffrement particulières utilisées par les cybercriminels peuvent parfois être trouvées lors de l'analyse du code du malware. Dans ces cas, les ingénieurs de Kaspersky Lab sont capables de créer un utilitaire spécial permettant de déchiffrer les données (http://support.kaspersky.com/viruses/disinfection).

Toutefois, certains programmes malveillants ne donnent pas cette information précieuse. En outre, certains logiciels malveillants de chiffrement sont conçus de manière à s'assurer que les données ne peuvent jamais être déchiffrées, quelle que soit la clé utilisée.

Il convient de noter, cependant, que le chiffrement par ce logiciel malveillant va fonctionner seulement après avoir été installé sur un ordinateur. Les produits de Kaspersky Lab empêchent la majorité absolue de ces infections lorsqu'ils sont bien à jour et correctement configurés.


Vecteurs d'infection - Protection

Les vecteurs d'infections possibles sont :

  • Mails (Phishing)
  • Supports amovibles
  • Sites Web
  • Sessions Terminal

L'infection peut se produire lorsque :

  • La solution de sécurité de l'ordinateur n'est pas à jour.
  • L'installation est autorisée en dépit des avertissements des solutions de sécurités qu'un programme spécifique peut être malveillant.
  • L'utilisateur a défini l'analyse heuristique des fichiers au réglage minimum.
  • La configuration de l'antivirus n'est pas protégée par un mot de passe.
  • Les technologies proactives ne sont pas utilisées. ( KSN, Défense Proactive / System Watcher )
  • La configuration du module de contrôle de l'activité des applications n'est pas au point

NB : La protection Kaspersky Antivirus 6 MP4 n'est pas suffisante pour parer efficacement à ce type de malwares.


VirusLab Kaspersky

En cas de doutes sur un fichier, il convient de le remonter au VirusLab ( le(s) fichier(s) doit être dans une archive en le protégeant à l'aide du mot de passe virus ) :


Ressources