Menu Fermer

Cryptowall – HELP_YOUR_FILES

Depuis quelques jours, on assiste à une attaque d’un crypto-ransomware qui chiffre les documents.
Ce dernier porte le nom de Cryptorbit et semble être un copycat.
Pour être honnête, si vous avez été touché, les chances de pouvoir récupérer les documents originaux sont très très  minces, n’ayez pas trop d’espoir.

Exemple sur CommentCamarche.net où on peux trouver quelques sujets – il y a aussi un sujet sur : https://forum.malekal.com/infection-howdecrypt-t46439.html

Cryptorbit_CCM

Voici la page qui est affichée sur le bureau avec un fichier texte qui contient aussi le même message.

Cryptorbit

400$ pour récupérer ses documents.

Cryptorbit_website

Avec cette adresse, on retrouve des précédents : https://forum.malekal.com/howdecrypt-500-t45878.html (Décembre 2013). A l’époque, il fallait payer 500$ pour avoir l’espoir de récupérer ses documents.

Cryptorbit_avant


A ce jour, je n’ai pu avoir de samples.
Sur les PC infectés, on retrouve systématique du Trojan.Necurs, Trojan.Zbot et Andromeda.

Deux exemples de rapports pjjoint :

http://pjjoint.malekal.com/files.php?read=OTL_20140127_k10n14u10y6d13

Cryptorbit_pjjoint

http://pjjoint.malekal.com/files.php?read=20140125_i10i13f9z15o6

Cryptorbit_pjjoint2

Ce qui donne :

O4 – HKU/S-1-5-21-3009744732-2083954262-1191288068-1000../Run: [SEIKO EPSON] C:/Users/Utilisateur/AppData/Roaming/twesgtrg/giawhftj.exe ()
O4 – HKU/S-1-5-21-3009744732-2083954262-1191288068-1000../Run: [syshost32] C:/Users/Utilisateur/AppData/Local/{8E3CBF99-5512-CD34-D010-43C9AFF082EE}/syshost.exe File not found
O4 – HKU/.DEFAULT../RunOnce: [5mdnp] C:/ProgramData/qaup/oiar.exe ()
O4 – HKU/S-1-5-18../RunOnce: [5mdnp] C:/ProgramData/qaup/oiar.exe ()
O4 – HKU/S-1-5-21-3009744732-2083954262-1191288068-1000../RunOnce: [5mdnp] C:/ProgramData/qaup/oiar.exe ()
c:/progra~2/msquue.exe (SolarSoftware Dev)

Les Hashs :

951d3daa9ae6753d7d43e35f19de29e2 pibr/plkerh.exe
1a7d3aa4036d69f6f32d7da90e611477 explorer.exe
1a7d3aa4036d69f6f32d7da90e611477  msiwelo.exe

J’ai fait un peu tourner tout cela et on obtient ces URLs :

Cryptorbit_C_C

sweetbabydolly.org est en fast flux DNS :
sweetbabydolly.org has address 5.231.65.55
sweetbabydolly.org has address 96.44.143.179
sweetbabydolly.org has address 146.255.25.147

bcbyfs.info has address 166.78.144.80

MaK-tux:/tmp# curl -I -s bcbyfs.info
HTTP/1.1 200 OK
Date: Mon, 27 Jan 2014 15:33:39 GMT
Server: Apache/2.2.20 (Ubuntu)
X-Sinkhole: malware-sinkhole
Vary: Accept-Encoding
Content-Type: text/html

A noter que ce matin, une malvertising Clicksor que je suis depuis pas mal de temps à dropper un Zbot avec le même packer que dans les samples issus des désinfections, l’icône étant identique.
Mais c’est difficile de savoir si les personnes qui ont eu cryptorbit ont été infecté par cette malvertising.

1a7d3aa4036d69f6f32d7da90e611477 msiwelo.exe
fcfe12b0e6d1ff5692e6f8f40f888b26 2.exe

Cryptorbit_Zbot

Ce qui est certains, c’est que cryptorbit semble être installés par un de ces botnets pour monétiser!

Côté désinfection

J’ai remontés pas mal de samples, donc les détections devraient être bonnes notamment pour Malwarebytes, faites un nettoyage RogueKiller derrière.
Penser surtout à changer vos mots de passe après désinfection, ils ont été volés à coup sûr.
En cas de besoin d’aide, créez votre propre sujet dans la partie Virus du forum.

EDIT –

Pour aller plus loin : Le rançongiciel Cryptorbit utilise TOR/THS & crypto-monnaies

EDIT – Février 1

Il semblerait que cryptorbit soit téléchargé par l’Andromedabot issu des fausses mises à jour Flash proposées sur des sites hackés, voir : https://www.malekal.com/fake-flash-player-par-hack-wordpress-backdoor-andromeda-autoit/

Lorsque vous surfez et que l’on vous propose des mises à jour Flash ou Java : Refusez
Ce sont des malwares à coup sûr !

fakeflash_hack

EDIT – Février 4

Il semblerait qu’il soit possible de récupérer les documents par “les versions précédentes” dans le cas où les clichées instantanées soit activées.

Clic droit / propriétés sur le fichier et onglet “versions précédentes”, vous avez alors des versions précédentes du fichier, plus d’informations : https://forum.malekal.com/windows-versions-precedentes-fichiers-t46739.html

version_precedenteLe programme suivant de BleepingComputer peux aider : http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip

BitDecrypt

Pas mal de cas pour un nouveau ransomware BitDecrypt.

bitcrypt_mIl semblerait que les auteurs se soit chiés dessus sur la fonction de chiffrage (déjà vu avec Trojan.Matsnu auparavant), ce sera surement corrigé dans une version future.

Plus d’informations : http://blog.cassidiancybersecurity.com/post/2014/02/Bitcrypt-broken
L’outils de décryptage (script python) : https://bitbucket.org/cybertools/malware_tools

EDIT – Mars 31 – CryptoDefense

Le nouveau nom utilisé est maintenant CryptoDefense

CryptoDefense

 

EDIT – 2 Juin : CryptoWall

Avec un peu de retard, le nouveau nom CryptoWall

Tous vos fichiers sont protégés par la cryptographie persistante RSA-2048 à l’aide du logiciel CryptoWall.
Voir information plus détaillée sur le chiffrement à l’aide du clé RSA-2048 sur la référence: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Reçu par un mail malicieux : https://www.virustotal.com/fr/file/a92ae8e80b0b70288a32c0455856453c5980021156132a540035e7ef5e0fa79e/analysis/

SHA256: a92ae8e80b0b70288a32c0455856453c5980021156132a540035e7ef5e0fa79e
Nom du fichier : vofse.exe
Ratio de détection : 7 / 52
Date d’analyse : 2014-06-02 18:07:03 UTC (il y a 14 minutes)
AhnLab-V3 Dropper/Win32.Necurs 20140602
Bkav W32.HfsAutoA.1fbd 20140602
ESET-NOD32 a variant of Win32/Injector.BEYO 20140602
Malwarebytes Trojan.Ransom.ED 20140602
McAfee PWSZbot-FBKQ!0650C9045814 20140602
McAfee-GW-Edition Artemis!0650C9045814 20140602
Qihoo-360 Win32/Trojan.c16 20140602

CryptoWall

 

EDIT – 4 Mars : Cryptowall 3.0

Depuis  Début Février, cette version n’apporte vraiment de “nouveautés” pour les utilisateurs. C’est surtout des modifications de codes pour échapper aux détections.
Je profite surtout de l’édition pour donner un exemple de mails malicieux propageant Cryptowall : https://forum.malekal.com/email-malicieux-cryptowall-t50998.html
Un dossier sur les emails malicieux : https://forum.malekal.com/les-virus-par-email-t50639.html
Un dossier sur les ransomwares chiffreurs de fichiers : https://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html

La fiche Cryptowall sur supprimer-virus.com : http://www.supprimer-virus.com/cryptowall/

Cryptowall 3.0

Novembre 2015 : Cryptowall 4.0 est sorti

Voir l’actualité : CryptoWall 4.0 débarque sur vos écrans : HELP_YOUR_FILES