Cryptowall – HELP_YOUR_FILES

Depuis quelques jours, on assiste à une attaque d’un crypto-ransomware qui chiffre les documents.
Ce dernier porte le nom de Cryptorbit et semble être un copycat.
Pour être honnête, si vous avez été touché, les chances de pouvoir récupérer les documents originaux sont très très  minces, n’ayez pas trop d’espoir.

Exemple sur CommentCamarche.net où on peux trouver quelques sujets – il y a aussi un sujet sur : http://forum.malekal.com/infection-howdecrypt-t46439.html

Cryptorbit_CCM

Voici la page qui est affichée sur le bureau avec un fichier texte qui contient aussi le même message.

Cryptorbit

400$ pour récupérer ses documents.

Cryptorbit_website

Avec cette adresse, on retrouve des précédents : http://forum.malekal.com/howdecrypt-500-t45878.html (Décembre 2013). A l’époque, il fallait payer 500$ pour avoir l’espoir de récupérer ses documents.

Cryptorbit_avant


A ce jour, je n’ai pu avoir de samples.
Sur les PC infectés, on retrouve systématique du Trojan.Necurs, Trojan.Zbot et Andromeda.

Deux exemples de rapports pjjoint :

http://pjjoint.malekal.com/files.php?read=OTL_20140127_k10n14u10y6d13

Cryptorbit_pjjoint

http://pjjoint.malekal.com/files.php?read=20140125_i10i13f9z15o6

Cryptorbit_pjjoint2

Ce qui donne :

O4 – HKU/S-1-5-21-3009744732-2083954262-1191288068-1000../Run: [SEIKO EPSON] C:/Users/Utilisateur/AppData/Roaming/twesgtrg/giawhftj.exe ()
O4 – HKU/S-1-5-21-3009744732-2083954262-1191288068-1000../Run: [syshost32] C:/Users/Utilisateur/AppData/Local/{8E3CBF99-5512-CD34-D010-43C9AFF082EE}/syshost.exe File not found
O4 – HKU/.DEFAULT../RunOnce: [5mdnp] C:/ProgramData/qaup/oiar.exe ()
O4 – HKU/S-1-5-18../RunOnce: [5mdnp] C:/ProgramData/qaup/oiar.exe ()
O4 – HKU/S-1-5-21-3009744732-2083954262-1191288068-1000../RunOnce: [5mdnp] C:/ProgramData/qaup/oiar.exe ()
c:/progra~2/msquue.exe (SolarSoftware Dev)

Les Hashs :

951d3daa9ae6753d7d43e35f19de29e2 pibr/plkerh.exe
1a7d3aa4036d69f6f32d7da90e611477 explorer.exe
1a7d3aa4036d69f6f32d7da90e611477  msiwelo.exe

J’ai fait un peu tourner tout cela et on obtient ces URLs :

Cryptorbit_C_C

sweetbabydolly.org est en fast flux DNS :
sweetbabydolly.org has address 5.231.65.55
sweetbabydolly.org has address 96.44.143.179
sweetbabydolly.org has address 146.255.25.147

bcbyfs.info has address 166.78.144.80

MaK-tux:/tmp# curl -I -s bcbyfs.info
HTTP/1.1 200 OK
Date: Mon, 27 Jan 2014 15:33:39 GMT
Server: Apache/2.2.20 (Ubuntu)
X-Sinkhole: malware-sinkhole
Vary: Accept-Encoding
Content-Type: text/html

A noter que ce matin, une malvertising Clicksor que je suis depuis pas mal de temps à dropper un Zbot avec le même packer que dans les samples issus des désinfections, l’icône étant identique.
Mais c’est difficile de savoir si les personnes qui ont eu cryptorbit ont été infecté par cette malvertising.

1a7d3aa4036d69f6f32d7da90e611477 msiwelo.exe
fcfe12b0e6d1ff5692e6f8f40f888b26 2.exe

Cryptorbit_Zbot

Ce qui est certains, c’est que cryptorbit semble être installés par un de ces botnets pour monétiser!

Côté désinfection

J’ai remontés pas mal de samples, donc les détections devraient être bonnes notamment pour Malwarebytes, faites un nettoyage RogueKiller derrière.
Penser surtout à changer vos mots de passe après désinfection, ils ont été volés à coup sûr.
En cas de besoin d’aide, créez votre propre sujet dans la partie Virus du forum.

EDIT –

Pour aller plus loin : Le rançongiciel Cryptorbit utilise TOR/THS & crypto-monnaies

EDIT – Février 1

Il semblerait que cryptorbit soit téléchargé par l’Andromedabot issu des fausses mises à jour Flash proposées sur des sites hackés, voir : http://www.malekal.com/2013/12/06/fake-flash-player-par-hack-wordpress-backdoor-andromeda-autoit/

Lorsque vous surfez et que l’on vous propose des mises à jour Flash ou Java : Refusez
Ce sont des malwares à coup sûr !

fakeflash_hack

EDIT – Février 4

Il semblerait qu’il soit possible de récupérer les documents par « les versions précédentes » dans le cas où les clichées instantanées soit activées.

Clic droit / propriétés sur le fichier et onglet « versions précédentes », vous avez alors des versions précédentes du fichier, plus d’informations : http://forum.malekal.com/windows-versions-precedentes-fichiers-t46739.html

version_precedenteLe programme suivant de BleepingComputer peux aider : http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip

BitDecrypt

Pas mal de cas pour un nouveau ransomware BitDecrypt.

bitcrypt_mIl semblerait que les auteurs se soit chiés dessus sur la fonction de chiffrage (déjà vu avec Trojan.Matsnu auparavant), ce sera surement corrigé dans une version future.

Plus d’informations : http://blog.cassidiancybersecurity.com/post/2014/02/Bitcrypt-broken
L’outils de décryptage (script python) : https://bitbucket.org/cybertools/malware_tools

EDIT – Mars 31 – CryptoDefense

Le nouveau nom utilisé est maintenant CryptoDefense

CryptoDefense

 

EDIT – 2 Juin : CryptoWall

Avec un peu de retard, le nouveau nom CryptoWall

Tous vos fichiers sont protégés par la cryptographie persistante RSA-2048 à l’aide du logiciel CryptoWall.
Voir information plus détaillée sur le chiffrement à l’aide du clé RSA-2048 sur la référence: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Reçu par un mail malicieux : https://www.virustotal.com/fr/file/a92ae8e80b0b70288a32c0455856453c5980021156132a540035e7ef5e0fa79e/analysis/

SHA256:a92ae8e80b0b70288a32c0455856453c5980021156132a540035e7ef5e0fa79e
Nom du fichier :vofse.exe
Ratio de détection :7 / 52
Date d’analyse :2014-06-02 18:07:03 UTC (il y a 14 minutes)
AhnLab-V3Dropper/Win32.Necurs20140602
BkavW32.HfsAutoA.1fbd20140602
ESET-NOD32a variant of Win32/Injector.BEYO20140602
MalwarebytesTrojan.Ransom.ED20140602
McAfeePWSZbot-FBKQ!0650C904581420140602
McAfee-GW-EditionArtemis!0650C904581420140602
Qihoo-360Win32/Trojan.c1620140602

CryptoWall

 

EDIT – 4 Mars : Cryptowall 3.0

Depuis  Début Février, cette version n’apporte vraiment de « nouveautés » pour les utilisateurs. C’est surtout des modifications de codes pour échapper aux détections.
Je profite surtout de l’édition pour donner un exemple de mails malicieux propageant Cryptowall : http://forum.malekal.com/email-malicieux-cryptowall-t50998.html
Un dossier sur les emails malicieux : http://forum.malekal.com/les-virus-par-email-t50639.html
Un dossier sur les ransomwares chiffreurs de fichiers : http://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html

La fiche Cryptowall sur supprimer-virus.com : http://www.supprimer-virus.com/cryptowall/

Cryptowall 3.0

Novembre 2015 : Cryptowall 4.0 est sorti

Voir l’actualité : CryptoWall 4.0 débarque sur vos écrans : HELP_YOUR_FILES

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 94 times, 3 visits today)

18 thoughts on “Cryptowall – HELP_YOUR_FILES

  1. Très intéressant pour comprendre le mécanisme, il semblerait que tout ce qui soit connecté au poste infecté soit contaminé… clefs USB, disque externe et serveur Nas… mais ça ne remonte pas sur les autres postes connectés au Nas.
    Les fichiers ouverts au moment de l’infection sont récupérables (3 sur plus de 200.000…) et bien entendu à aujourd’hui, aucun moyen de décryter les cryptés…

  2. attaqué aussi le 22 /01/2014 à 12 h 26 par cette vraie saloperie. les 3/4 des fichiers sont inutilisables, et il faut mieux tout reinstaller, les fichiers les plus endommagés sont situes sur les disques externes. en effet j’ai nettoyé tres vite la partition principale et ne me suis pas méfié. Si cela vous arrive malwarebytes rogue kille et adwcleaner partout et le plus vite possible

  3. Pour xp ou 2003 il faut aller voir du coté de « Client de clichés instantanés » ou shadowexplorer pour restaurer ses fichiers.

  4. Bonjour,
    Pour ceux qui comme n’avait pas de sauvegarde de leur fichiers, j’ai trouvé une solution pour récupérer certains d’entre eux qui ont été corrompus par cryptorbit.
    Il semble que cryptorbit ne crypte que l’entête des fichiers , tout du moins c’est ce que j’ai remarqué pour les JPG . Donc plutôt que de tenter de décrypter ce qui me parait peu probable sans la clé de cryptage… je suis parti du principe qu’une entête de fichier est « réparable » , donc 2 mots clé dans Google plus tard et je suis tombé sur pixrecovery qui m’a réparé toutes mes photos !
    A voir si le principe est aussi bon pour les fichiers pdf, excel word …mais avec d’autres outils dans le même genre .
    J’espère que cela pourra aider certains d’entre vous .

  5. Bonjour,
    J’essaie de dépanner le PC d’un artisan qui a visiblement subi le même virus.
    Merci pour vos précieux conseils !
    Je continue donc de vous lire et j’attends de voir si une solution de réparation existe…
    Merci par avance…

  6. Bonjour,
    une information intéressante : les photos sont récupérables via PixRecovery, j’ai testé plusieurs solutions mais c’est la seule qui tienne la route (bon mais cela vous le saviez déja).
    J’ai examiné la structure des fichiers words (cryptés) et en fait le virus a utilisé la meme methode de « verouillage » que pour les photos (pour certains word pas tous bizarrement, mais il faut que je regarde de plus près). Il ne crypte pas mais modifie la structure d’entete du fichier et le pied de page. Donc ils devraient etre récupérables.

  7. My partner and I stumbled over here from a different web address and thought I might check things out. I like what I see so now i am following you. Look forward to looking over your web page yet again.

  8. all the time i used to read smaller articles which as well clear their motive, and that is also happening with this piece of writing which I am reading at this time.

  9. You’re so awesome! I don’t suppose I’ve read anything like this before. So wonderful to find someone with some original thoughts on this issue. Seriously.. thank you for starting this up. This site is something that is needed on the internet, someone with a bit of originality!

  10. Aw, this was an exceptionally good post. Taking the time and actual effort to generate a very good article… but what can I say… I procrastinate a lot and never seem to get anything done.

  11. MERCI Yop777, cela marche bien pour les documents standars offices. De même pour les images
    En revanche pour le PDF cela ne marche pas.
    DE plus j’ai un bouton en plus que sur ton explication et qui plante dès que ‘lon clic dessus.

  12. Cela ne fonctionne pas pour les PST d’outlook 2007 chez moi : erreur avec le scanpst.exe.
    Lors d’un test avec le scanpst,il ne reconnait pas le fichier en tant que PST

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *