Avec la mort du ransomware Gandcrab, de nouveaux acteurs émergent et tentent de se faire une place.
A ce jeu le ransomware Sodinokibi semble tirer son épingle du jeu.
Ce dernier peut aussi porter le nom de ransomware REvil ou Sodin.
Cet article regroupe les informations autour de ce rançongiciel.
Comme les choses évoluent vite, ce dernier sera mis à jour en conséquence.
Ainsi si un outil pour décrypter les fichiers sort, vous en serez informé.
Table des matières
Un ransomware classique
Pour rappel, une fois l’ordinateur touché, le rançongiciel attaque les données.
Il chiffre (crypte) les documents afin de les rendre inopérant.
Un fichier note indique qu’il faut payer une rançon pour récupérer l’accès.
Il s’agit d’acheter une clé de déchiffrement.
Celle-ci se vend plusieurs centaines d’euros.
Le malware s’appuie sur les mécanisme de chiffrement.
Vous trouverez plus d’informations sur cet article : Le chiffrement (cryptage) des données
A l’heure actuelle, il redirige vers le site decryptor.top.
Comme souvent, sur les forums, des victimes viennent demander de l’aide.
Ci-dessous une victime de Sodinokibi qui explique des milliers de fichiers sont chiffrés et inaccessibles.
Des chercheurs ont trouvé des similitudes entre GrandCrab et Sodinokibi.
Cela peut faire penser qu’il s’agit de la même équipe derrière.
Plus d’informations : Is ‘REvil’ the New GandCrab Ransomware?
Plusieurs acteurs
Il semble que les attaques vont tout azimuts comme souvent, car plusieurs affiliés entre en jeu.
Pour bien comprendre, vous pouvez lire notre fiche du ransomware Gandcrab.
En effet, le mécanisme reste identique.
A savoir un groupe propose en location un kit et d’autres groupes peuvent diffuser ce dernier.
Ces dernier touchent un pourcentage sur les installations ou lors de l’achat de la clé pour décrypter les fichiers.
On peut imaginer que les groupes actifs pour Gandcrab passent maintenant chez Sodinokibi après la mort de ce premier.
Le site BleepingComputer a recensé les attaques récentes.
Parmi les vecteurs, on trouve :
- L’exploitation de vulnérabilité Oracle WebLogic (CVE-2019-2725)
- Des publicités malveillantes (malvertising) qui conduit à des attaques Drive By Download – Web Exploit.
- Des mails malveillants
Piratage de sites
Ainsi on peut constater plusieurs types d’attaques même si cela reste aussi classique.
Par exemple des piratages de sites WEB afin de rediriger vers le ransomware.
Le site Winrar en Italie en a été victime.
Autour du 19/06/2019 des attaques plus massives ont aussi lieu grâce à une vulnérabilité récente sur Terminal Server.
Cela permet de pirater des serveurs en Windows.
Email malveillant
Tout aussi classique, des campagnes de mails malveillants.
Ces spams se font passer par des entités connus.
Par exemple ci-dessous, un faux mail booking.com
Dans ce mail, se trouve une pièce jointe au format Office.
Celle-ci va installer Sodinokibi sur le PC de la victime, si celle-ci l’exécute.
La page suivante explique ces mécanismes de document Word ou Excel piégé : Les virus par Word et Excel (documents Office) : comment s’en protéger
J’ai été victime de Sodinokibi
Le ransomware n’est pas résident.
C’est à dire qu’il va chiffrer les documents et se fermer.
Ainsi l’ordinateur n’est plus infecté.
Pour le moment, aucun outil de décryptage existe.
Voici donc les recommandations à suivre :
- Replacez vos sauvegardes si vous en avez. Si ce n’est pas cas, à l’avenir, pensez à en mettre en place : sauvegarde Windows.
- Gardez les fichiers chiffrés pour une solution à l’avenir. Soyez patient, parfois il faut attendre plusieurs mois.
- Changez vos mots de passe WEB. Le malware peut aussi voler les identifiants.
Vous pouvez aussi analyser votre ordinateur avec MBAM : Malwarebytes Anti-Malware (MBAM)
A l’heure actuelle, aucun outil pour décrypter les fichiers existent.
L’article sera mis à jour lorsqu’un outil sortira.
Par la suite, vous pouvez sécuriser votre PC en suivant nos indications : Sécuriser son ordinateur et connaître les menaces
Enfin sur le forum du site, on trouve un topic avec des victimes : [VIRUS|RAMSOWARE] sodinokibi