Trojan:W32/Ransomcrypt / Trojan.Encoder : Prise en otage des documents

Le WE dernier j’ai édité le billet Virus Gendarmerie pour signaler qu’une variante étant en ligne qui prenait en otage les documents.
Le principe est de chiffrer les documents et de demander une rançon pour débloquer l’accès aux documents (quoique dans le cas du Virus Gendarmerie, aucune demande de rançon de déblocage).
Vous trouverez des informations techniques de cette variante, par SecuBox Labs à partir de ce lien : http://forum.malekal.com/ransomware-image-cryptee-t37140-15.html#p289899
(EDIT Fin Avril – un fix est disponible pour cette variante, se reporter à la page suivante : http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/ )


Ce principe n’est pas nouveau, puisque le malware GPCode avait fait son apparatition courant 2007 (Une bref réapparaition via ce billet : http://www.malekal.com/2011/03/25/retour-de-gpcode-documents-have-been-encrypted-by-a-very-strong-cypher-rsa-1024/).

Nouveau ransomware  « EnCiPhErEd« 

Aujourd’hui F-Secure et Dr.Web signalent une nouvelle variante :

Un fichier texte est laissé avec les instructions pour débloquer ses documents. L’envoi d’un voucher chez Ukash ou Paysafecard, le même principe que pour les Ransomware Fake police

Les fichiers cryptés prennent l’extension EnCiPhErEd :

Selon l’algorithme de cryptage utilisé et le niveau de chiffrement, il peut être difficile voire impossible de récupérer ses documents d’origine.

Dr.Web signale une recrudescence en Russie, très souvent, les premiers malwares sont présents là bas et sont ensuite propagés dans d’autres pays.
Pour le moment, pas de cas de ce type sur les forums de désinfections.

L’évolution actuelle n’est pas bon signe, les campagnes de Ransomware Fake police sont assez massives depuis Novembre/Décembre, de part l’utilisation de malvertising qui conduisent à des exploits sur site WEB.
(Consulter les chiffres d’un des TDS : http://www.malekal.com/2011/12/14/a-propos-du-rotator-du-virus-gendarmerie/)
Sur les forums, on voit maintenant des vagues d’internautes qui ont été infectés plusieurs fois.

Pas la peine d’imaginer les dégâts que pourrait provoquer, un couplage (ou remplacement) entre les fake police et ces ramsomwares qui chiffrent les documents.

Encore une fois, pour prévenir, vous devez mettre à jour vos logiciels et surtout les maintenir à jour ( voir http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html ) afin que votre PC ne soit pas vulnérables aux exploits sur site WEB.

 

EDIT – Fonctionnement du malware

SecuBox Labs m’a donné un sample du ransomware ci-dessus. Je les remercie.

Le malware se loge dans %TEMP% et créé une clef Run pour se lancer.
Un raccourci vers fichier texte HOW TO DECRYPT FILES.txt (voir plus bas) est créé dans Démarrage.

Le malware créé une extension : .EnCiPhErEd

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.EnCiPhErEd]
@= »ZIBXKKHVYMVCCPW »

 

qui pointe sur lui même (voir capture plus bas – rappel : fonctionnement des associations de fichiers).

Si vous cliquez sur un fichier modifié par le malware avec l’extension .EnCiPhErEd – Vous relancez l’infection.
A éviter donc.

Malwarebyte’s Anti-Malware détecte le malware.

Voici une capture de la popup que le malware affiche et le contenu de HOW TO DECRYPT FILES.txt ajouté sur le bureau qui réclame la rançon.

Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them,
send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com. During the day you receive the answer with the code.You have 5 attempts to enter the code. If you exceed this
of all data irretrievably spoiled. Be

 

Un commentaire sur le forum est disponible sur cette variante : http://forum.malekal.com/trojan-w32-ransomcrypt-how-decrypt-files-txt-t37317.html 

fix par Dr. Web

Avant de tenter de rétablir vos fichiers, il faut supprimer l’infection, sinon vous risquez de la relancer (voir explications plus haut).
Lancer un scan : Malwarebyte’s Anti-Malware
Le fichier malicieux dans %TEMP% doit avoir été supprimé.

 

Dr.Web fournit un fix dont voici l’adresse suivante : ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe
L’utilisation de l’interface graphique n’a pas fonctionné chez moi :

Dans ce cas :

  • Mettre le fix sur le bureau et pas ailleurs.
  • Lancer via l’invite de commande : Menu Démarrer / executer et tapez cmd.
  • Saisir les commandes dans la capture ci-dessous
    • cd bureau
    • puis te94decrypt.exe -k 85

Les documents cryptés ne sont pas touchés (au cas où çà ne fonctionnerait pas), ils sont recopiés lors du déchiffrage.
Dans le cas où vous avez des documents assez volumineux, prévoir assez de place disque.

 

EDIT 17 Avril – Nouvelle variante

Le message dans HOW TO DECRYPT FILES.txt est différent.

 

All your files are encrypted!
To decrypt them you need to
send a voucher code or Paysafecard Ukash at email: tenagliamirella@gmail.com
In return you get a code to decrypt files.
You can find more information here http://ukash.com/uk/en/home.aspx
or http://www.paysafecard.com/choose-country/PLEASE READ CAREFULLY!
To avoid problems, TURN OFF YOUR ANTI-VIRUS!
AKA restore your files WILL NOT!
================================================================================
Todos os seus arquivos sao criptografados!
Para decifra-los voce precisa
enviar um codigo de voucher Ukash Paysafecard ou no e-mail: tenagliamirella@gmail.com
Em troca, voce recebera um codigo para decifrar arquivos.
Voce pode encontrar mais informacao aqui http://ukash.com/uk/en/home.aspx
ou http://www.paysafecard.com/choose-country/LEIA COM ATENCAO!
Para evitar problemas, DESLIGUE seu anti-virus!
AKA restaurar seus arquivos nao serao!

 

La détection est bonne : https://www.virustotal.com/file/4137f8c196fdd99a5cd64c518ed27c466953e37b78887954ea192b5595a0a076/analysis/1334648816/

 

SHA256: 4137f8c196fdd99a5cd64c518ed27c466953e37b78887954ea192b5595a0a076
File name: RYiGElV1ZFlQ3US.exe
Detection ratio: 19 / 42
Analysis date: 2012-04-17 07:46:56 UTC ( 0 minute ago )

AntiVir TR/Ransom.FO.23 20120417
AVG Dropper.Generic5.CFZG 20120417
BitDefender Trojan.Generic.KDV.600989 20120417
CAT-QuickHeal (Suspicious) – DNAScan 20120417
Comodo UnclassifiedMalware 20120417
DrWeb Trojan.Encoder.94 20120417
Emsisoft Trojan.Win32.Ransom!IK 20120417
eSafe Win32.VBKrypt.Hyzx 20120415
F-Secure Trojan.Generic.KDV.600989 20120417
Fortinet W32/VBKrypt.HYZX!tr 20120417
GData Trojan.Generic.KDV.600989 20120417
Ikarus Trojan.Win32.Ransom 20120417
Kaspersky Trojan-Ransom.Win32.Xorist.hf 20120417
McAfee Artemis!9B7EAFFE4DFF 20120416
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Downloader.D 20120417
Microsoft Trojan:Win32/Ransom.FO 20120417
NOD32 a variant of Win32/Injector.QDD 20120417
nProtect Trojan.Generic.KDV.600989 20120417
TheHacker Posible_Worm32 20120416

Ransomware Trojan.Encoder

Avant toute tentative pour rétablir les fichiers, vous devez avoir éradiqué le malware du PC. Un simple double-clic sur un raccourci malicieux réinstalle l’infection.
Se reporter au paragraphe précédent désinfection.

Le programme de Dr.Web fonctionne sur cette variante avec le paramètre -k 91. (Merci SecuBox Labs)

Ransomware Trojan.Encoder

Ransomware Trojan.Encoder

  • Sélectionner un fichier crypté (icone rose/violet)

Ransomware Trojan.Encoder

Kaspersky devrait parvenir à rétablir les fichiers d’origine.

Ransomware Trojan.Encoder

Ransomware Trojan.Encoder

EDIT – Un fix disponible pour le ransomware locked-

ça se passe ici sur le dernier edit : http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/ 

EDIT 16 Septembre

Une nouvelle campagne – l’extension .BLOCKAGE est ajoutée aux fichiers cryptés.
Déjà un sujet sur le forum : http://forum.malekal.com/rogue-bloqueur-fichiers-t40255.html

Toujours le fichier HOW TO DECRYPT Files qui donne la procédure poru décrypter avec un lien vers blockage@tormail.org

All your personal files (photo, documents, databases) have been encrypted by a very strong cipher.
You can check this by yourself – just look for files in all folders.
There is no possibility to decrypt these files without a special decrypt program.
Nobody can help you – even don’t try to find another method or tell anybody.
We can help you to solve this task: send your request on this e-mail: blockage@tormail.org
Attach to message a full serial key shown below in this (‘HOW TO DECRYPT FILES.TXT’) file on desktop.
And remember: any harmful or bad words to our side will be a reason for ingoring your message and nothing will be done.
Only we can decrypt your files!
 

Malheureusement l’outils Kaspersky ne fonctionne pas pour cette variante.

 

La détection pour le dropper est assez mauvaise : https://www.virustotal.com/file/c0603fcd04d8e2fe78559a1fc07d0d8e569c08225ecb864850edd9511b11a439/analysis/1347746289/
=> http://www3.malekal.com/malwares/index.php?hash=92b2c03f09a07b6c12233c4c2132c710

SHA256: c0603fcd04d8e2fe78559a1fc07d0d8e569c08225ecb864850edd9511b11a439
File name: ~!#3B.tmp.exe
Detection ratio: 3 / 42
Analysis date: 2012-09-15 21:58:09 UTC ( 0 minute ago )

BitDefender Gen:Variant.Kazy.79703 20120915
F-Secure Gen:Variant.Kazy.79703 20120915
GData Gen:Variant.Kazy.79703 20120915

 

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 375 times, 1 visits today)

9 thoughts on “Trojan:W32/Ransomcrypt / Trojan.Encoder : Prise en otage des documents

  1. Pas la peine d’imaginer les dégâts que pourrait provoquer, un couplage (ou remplacement) entre les fake police et ces ramsomwares qui chiffrent les documents.

    Broouuuuu, ça fait peur ! Bientôt le ransomware terroriste couplé à la domotique: « Votre ordi est bloqué. Nous contrôlons votre réseau électrique ainsi que celui du gaz. Si vous ne payez pas dans les 4 heures, on fait tout péter ! » 😀

    Pas la peine de rappeler que sauvegarder les documents est une des règles de base de l’informatique. 🙂

  2. Merci pour ce billet! J’ai pu récupérer tous mes fichiers cryptés: super!
    Je n’ai pas pu le faire par Drweb mais cela a très bien marché avec l’utilitaire de Kapersky.

  3. Tant mieux pour toi.
    Pour moi, c’est négatif pour DrWeb -k85, -k91 et Kaspersky
    Mais cela doit être une autre variante car je n’ai pas la forme décrite ci-dessus pour les noms de fichiers vérolés mais une forme locked-nomdu fichier.extension.4lettres.
    Je vais regarder si il y a d’autres paramètres -knn possibles pour le DrWeb

  4. oui moi non plus cela n’a pas fonctionné pour un ordi client.
    Les fichiers sont sous la forme locked-nomdufichier.extension.4lettresAléatoires
    même en essayant de modifier les 4 dernières lettres par les deux extensions ci-dessus citées.
    A moins qu’un caractère soit trompeur.
    Vivement une solution 🙂

  5. Un grand Merci

    il y 2 semaines j’avais deja essayé avec Kaspersky rannohdecryptor (lien Dedes plu haut ^) sa n’avais rien donné et là ça fonctionne très bien une mise à jour surement vu le nombre de saleté différente lol

    j’ai tout récupéré:) Merci Dedes 🙂

    ( une fois les premiers fichiers testé je vous conseille de modifier le paramètre suivant : delete cryptes files after decryption)

    Un Grand Merci au forum aux posteurs de solutions et a tout ceux qui ont eu mal au crâne pour nous aider

    je vais prendre 1 an d’abonnement payant chez kespersky il mérite bien sa merci à eux

    je n’oublierais plus de mettre les logicielles javas ie etc. à jour

    et surtout de faire des sauvegardes sur mon disque dur externe

    qui est branché au Pc que le temps du transfert de fichié il avait ainsi pu éviter la contamination c’etais déjà sa de sauver 🙂

  6. Salut, j’ai une nouvelle variante on dirait. L’extension que le cryptage ajoute a mes fichiers est .JNYOZWJ. Ex : toto.jpg.jnyozwj
    Quelqu’un peut avoir une idée sur ce ransomware ??

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *