Depuis quelques jours, on assiste à une attaque d’un crypto-ransomware qui chiffre les documents.
Ce dernier porte le nom de Cryptorbit et semble être un copycat.
Pour être honnête, si vous avez été touché, les chances de pouvoir récupérer les documents originaux sont très très minces, n’ayez pas trop d’espoir.
Exemple sur CommentCamarche.net où on peux trouver quelques sujets – il y a aussi un sujet sur : https://forum.malekal.com/infection-howdecrypt-t46439.html
Voici la page qui est affichée sur le bureau avec un fichier texte qui contient aussi le même message.
400$ pour récupérer ses documents.
Avec cette adresse, on retrouve des précédents : https://forum.malekal.com/howdecrypt-500-t45878.html (Décembre 2013). A l’époque, il fallait payer 500$ pour avoir l’espoir de récupérer ses documents.
Sur les PC infectés, on retrouve systématique du Trojan.Necurs, Trojan.Zbot et Andromeda.
Deux exemples de rapports pjjoint :
http://pjjoint.malekal.com/files.php?read=OTL_20140127_k10n14u10y6d13
http://pjjoint.malekal.com/files.php?read=20140125_i10i13f9z15o6
Ce qui donne :
O4 – HKU/S-1-5-21-3009744732-2083954262-1191288068-1000../Run: [SEIKO EPSON] C:/Users/Utilisateur/AppData/Roaming/twesgtrg/giawhftj.exe ()
O4 – HKU/S-1-5-21-3009744732-2083954262-1191288068-1000../Run: [syshost32] C:/Users/Utilisateur/AppData/Local/{8E3CBF99-5512-CD34-D010-43C9AFF082EE}/syshost.exe File not found
O4 – HKU/.DEFAULT../RunOnce: [5mdnp] C:/ProgramData/qaup/oiar.exe ()
O4 – HKU/S-1-5-18../RunOnce: [5mdnp] C:/ProgramData/qaup/oiar.exe ()
O4 – HKU/S-1-5-21-3009744732-2083954262-1191288068-1000../RunOnce: [5mdnp] C:/ProgramData/qaup/oiar.exe ()
c:/progra~2/msquue.exe (SolarSoftware Dev)
Les Hashs :
951d3daa9ae6753d7d43e35f19de29e2 pibr/plkerh.exe
1a7d3aa4036d69f6f32d7da90e611477 explorer.exe
1a7d3aa4036d69f6f32d7da90e611477 msiwelo.exe
J’ai fait un peu tourner tout cela et on obtient ces URLs :
sweetbabydolly.org est en fast flux DNS :
sweetbabydolly.org has address 5.231.65.55
sweetbabydolly.org has address 96.44.143.179
sweetbabydolly.org has address 146.255.25.147
bcbyfs.info has address 166.78.144.80
MaK-tux:/tmp# curl -I -s bcbyfs.info
HTTP/1.1 200 OK
Date: Mon, 27 Jan 2014 15:33:39 GMT
Server: Apache/2.2.20 (Ubuntu)
X-Sinkhole: malware-sinkhole
Vary: Accept-Encoding
Content-Type: text/html
A noter que ce matin, une malvertising Clicksor que je suis depuis pas mal de temps à dropper un Zbot avec le même packer que dans les samples issus des désinfections, l’icône étant identique.
Mais c’est difficile de savoir si les personnes qui ont eu cryptorbit ont été infecté par cette malvertising.
1a7d3aa4036d69f6f32d7da90e611477 msiwelo.exe
fcfe12b0e6d1ff5692e6f8f40f888b26 2.exe
Ce qui est certains, c’est que cryptorbit semble être installés par un de ces botnets pour monétiser!
Table des matières
Côté désinfection
J’ai remontés pas mal de samples, donc les détections devraient être bonnes notamment pour Malwarebytes, faites un nettoyage RogueKiller derrière.
Penser surtout à changer vos mots de passe après désinfection, ils ont été volés à coup sûr.
En cas de besoin d’aide, créez votre propre sujet dans la partie Virus du forum.
EDIT –
Pour aller plus loin : Le rançongiciel Cryptorbit utilise TOR/THS & crypto-monnaies
EDIT – Février 1
Il semblerait que cryptorbit soit téléchargé par l’Andromedabot issu des fausses mises à jour Flash proposées sur des sites hackés, voir : https://www.malekal.com/fake-flash-player-par-hack-wordpress-backdoor-andromeda-autoit/
Lorsque vous surfez et que l’on vous propose des mises à jour Flash ou Java : Refusez
Ce sont des malwares à coup sûr !
EDIT – Février 4
Il semblerait qu’il soit possible de récupérer les documents par “les versions précédentes” dans le cas où les clichées instantanées soit activées.
Clic droit / propriétés sur le fichier et onglet “versions précédentes”, vous avez alors des versions précédentes du fichier, plus d’informations : https://forum.malekal.com/windows-versions-precedentes-fichiers-t46739.html
Le programme suivant de BleepingComputer peux aider : http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip
BitDecrypt
Pas mal de cas pour un nouveau ransomware BitDecrypt.
Il semblerait que les auteurs se soit chiés dessus sur la fonction de chiffrage (déjà vu avec Trojan.Matsnu auparavant), ce sera surement corrigé dans une version future.
Plus d’informations : http://blog.cassidiancybersecurity.com/post/2014/02/Bitcrypt-broken
L’outils de décryptage (script python) : https://bitbucket.org/cybertools/malware_tools
EDIT – Mars 31 – CryptoDefense
Le nouveau nom utilisé est maintenant CryptoDefense
EDIT – 2 Juin : CryptoWall
Avec un peu de retard, le nouveau nom CryptoWall
Tous vos fichiers sont protégés par la cryptographie persistante RSA-2048 à l’aide du logiciel CryptoWall.
Voir information plus détaillée sur le chiffrement à l’aide du clé RSA-2048 sur la référence: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Reçu par un mail malicieux : https://www.virustotal.com/fr/file/a92ae8e80b0b70288a32c0455856453c5980021156132a540035e7ef5e0fa79e/analysis/
SHA256: | a92ae8e80b0b70288a32c0455856453c5980021156132a540035e7ef5e0fa79e |
Nom du fichier : | vofse.exe |
Ratio de détection : | 7 / 52 |
Date d’analyse : | 2014-06-02 18:07:03 UTC (il y a 14 minutes) |
AhnLab-V3 | Dropper/Win32.Necurs | 20140602 |
Bkav | W32.HfsAutoA.1fbd | 20140602 |
ESET-NOD32 | a variant of Win32/Injector.BEYO | 20140602 |
Malwarebytes | Trojan.Ransom.ED | 20140602 |
McAfee | PWSZbot-FBKQ!0650C9045814 | 20140602 |
McAfee-GW-Edition | Artemis!0650C9045814 | 20140602 |
Qihoo-360 | Win32/Trojan.c16 | 20140602 |
EDIT – 4 Mars : Cryptowall 3.0
Depuis Début Février, cette version n’apporte vraiment de “nouveautés” pour les utilisateurs. C’est surtout des modifications de codes pour échapper aux détections.
Je profite surtout de l’édition pour donner un exemple de mails malicieux propageant Cryptowall : https://forum.malekal.com/email-malicieux-cryptowall-t50998.html
Un dossier sur les emails malicieux : https://forum.malekal.com/les-virus-par-email-t50639.html
Un dossier sur les ransomwares chiffreurs de fichiers : https://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html
La fiche Cryptowall sur supprimer-virus.com : http://www.supprimer-virus.com/cryptowall/
Novembre 2015 : Cryptowall 4.0 est sorti
Voir l’actualité : CryptoWall 4.0 débarque sur vos écrans : HELP_YOUR_FILES