Ransomware : un moyen de monétiser

Si vous avez suivi un peu les dernières actualités autour des malwares, vous avez dû entendre parler du Ransomware Locky qui tape très fort à travers ses campagnes d’emails malicieux qui visent les entreprises, avant cela le Ransomware TeslaCrypt a aussi tapé fort en Décembre 2015, ses campagnes continuent.
2016 s’annonce donc être une année à Crypto-Ransomware, comme 2011 à 2014 ont été des années à Trojan.Winlock (Virus Gendarmerie).
A côté de ces campagnes professionnelles qui utilisent des centaines de serveurs différents et diffusent des centaines de fichiers au quotidien, des pirates moins professionnels utilisent aussi des ransomwares pour tenter de gagner de l’argent.

Fin Février ѠOOT avait publié l’article JobCrypter & les activités carding de djamel au bled où un pirate envoyé des emails malicieux à des entreprises françaises pour charger des trojans.
Un ransomware JobCrypter était aussi utilisé.

Dans ce cas précis, les pirates utilisent comme moyen d’infection des vidéos Youtube qui expliquent comment cracker des jeux.
Ces méthodes sont loin d’être nouvelles puisque j’en parlais déjà sur le sujet : RAT (Remote Access Tool)
Elles visent donc à mettre en ligne des vidéos (parfois fausses, ce n’est pas forcément l’outil mis en ligne, mais l’important est que l’utilisateur y croit) avec des liens vers des programmes hébergés sur des plateformes tels que Uptobox, zipshare, Media Fire.
Certains de ces hébergeurs scannent les fichiers, mais ce n’est pas forcément suffisant.

Ci-dessous les vidéos en questions :

Far_Cry_Crack_Trojan_3 Far_Cry_Crack_Trojan_2

Far_Cry_Crack_Trojan

Une fois le fichier FCPimal.exe exécuté, celui-ci tente de se connecter au serveur du pirate, le PC est alors sous contrôle et les mots de passe volés.

FCPmial_exe

Les détections VirusTotal tournent autour de 8 et 25 (ces derniers sont plus vieux, donc mieux détectés).
Les pirates mettent à jour le fichier tous les jours pour corriger ce dernier quand le DNS est suspendu ou si les détections sont bien trop hautes.

FCPmial_exe_scan_virustotal

Trojan_FCPrimal

Quelques hashs :

b93584f218a0d867b61fe5ef64634251 FCPrimal.exe
d6079bf4053f6114cc25e71f3effe023 FCPrimal.exe
6354539bb9d640c92a84be704d3d7ad9 FCPrimal.exe
30241c252fd24a79bcdde4c87d59d2bf FCPrimal.exe

Ces infections conduisent au ransomware .locked

BleepingComputer a mentionné ce dernier avec environ 700 victimes dont 3 personnes auraient payés.
Il s’agit ici d’un ransomware basé sur EDA2 Ransomware qui savère être un ransomware opensource (sisi ..)

Autre cas intéressant : https://twitter.com/malekal_morte/status/708319816164253696
Avec un JavaScript qui va télécharger un ransomware, il s’agit d’un ransomware se faisant passer pour CryptLocker (voir la fiche CryptoLocker)

Javascript_CryptoLocker_2
Javascript_CryptoLocker_3
Javascript_CryptoLocker

Javascript_CryptoLocker_2

C’est donc le même procédé que Locky et TeslaCrypt, il s’agit d’effectuer du bruteforce et d’échapper aux détections antivirus pour toucher le maximum d’internautes.
Dans ces cas, les groupes sont moins professionnels, quand ceux professionnels peuvent mettre en ligne des fichiers proche de 0 détection plusieurs fois par jour, ces groupes eux ne peuvent le faire qu’une fois par jour (et encore).
Certains de ces groupes utilisent des outils connus qui ont été récupérés à droite et à gauche.
L’utilisation du ransomware opensource n’est pas vraiment une surprise.
Chaque petit groupe va tenter d’utiliser son propre ransomware comme c’était le cas des virus fake Police.

On voit aussi ici que le ransomware sert à monétiser, une fois que les informations contenues dans l’ordinateur ont été pompées.
En gros une fois que les mots de passe et accès utiles aux pirates ont été récupérés, on peut jeter le PC et gagner de l’argent à travers le ransomware.
Ces procédés étaient déjà utilisés avec les Trojan.WinLocker courant 2014 :

Si ces groupes sont moins professionnels, il suffit de se pointer au mauvais (quand le fichier est mal détecté) et le lancer pour se faire avoir…
On voit aussi l’émergence des infections à travers des scripts, donc encore une fois, je ne peux que vous renvoyer vers la page Comment se protéger des scripts malicieux sur Windows

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 121 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *