Assiste.Forums

[pierre]

J'ai cette idée en tête depuis la naissance des cryptowares
Idée ou idiotie
Créer des extensions de fichiers inconnues et faire des associations.
Tant que les ransomwares du genre cryptoware cherchent les extensions et non pas les applications et leurs associations, cela pourrait protéger des attaques.

[pierre]

Bonjour,

Grégory SNAUWAERT, d'AxBx (éditeur français de l'antivirus VirusKeeper) m'écrit pour partager quelques infos sur WanaCrypt0r, que je reproduis ici.

Merci à lui.

Le vendredi 12 Mai 2017 a démarré une cyber-attaque de grande envergure avec la propagation massive sur plusieurs pays d'un ransomware (WannaCry / WannaDecryptor / WanaCrypt0r 2.0). Cette attaque est toujours en cours et atteindra son pic sans doute aujourd'hui.

En moins de 3 jours, le malware s'est propagé dans plus de 200 pays. Il est difficile de donner un chiffre précis du nombre de machines infectées mais cela peut s'estimer à plusieurs centaines de milliers.

Ce malware -semblerait- utiliser l'exploit "Eternal Blue" de la NSA. Le malware utilise la faille de sécurité SMB (voir bulletin MS17-010 - Critique )

Rappelons que SMB est un protocole de partage obsolète qui n'est pas un modèle de sécurité. SMB est conservé pour des raisons de compatibilité. Il est possible de le désactiver. Je recommande d'ailleurs vivement de désactiver le protocole de partage SMB1.

Le malware est composé d'un fichier principal d'environ 3,4 Mo. Le nom de ce fichier est "DiskPart.exe" ou "lhdfrgui.exe". Il y a plusieurs variantes du fichier exécutable.

Le malware utilise une date de fichier antidatée pour tromper l'utilisateur.

La description du fichier exécutable se fait passer pour un fichier de Microsoft "Microsoft Disk Defragmenter".

Le malware effectue les actions suivantes:

- téléchargement via l'API InternetOpenUrlA de WININET.DLL

- ouverture d'un socket

- création, installation, démarrage d'un service Windows NT

- génération d'une clé de chiffrage aléatoire en utilisant la fonction CryptGenRandom de ADVAPI32.dll

- recherche des fichiers de données utilisateurs et chiffrement des fichiers

- affichage d'un message incitant à payer la rançon

Une fois les fichiers chiffrés, le ransomware réclame une rançon d'un montant de $300 à $600 payable en BitCoin en affichant un écran intimidant avec un compte à rebours.


Action à mener :

- Vérifier que le correctif KB4012598 est appliqué (ce qui est devrait être le cas vu qu'il est sorti fin Mars 2017)

- Mettre à jour les systèmes de protection pour disposer des signatures de WannaCry.

[bellafago]

Bonjour Pierre,


Je trouve ton idée d' extension pas bête du tout elle est pleine de bon sens, mais la question est: " est ce applicable " ? En tous cas certainement complexe, non ?

@+

Bertrand.

[piratebab]

Quelques info sur le groupe à l'origine de la fuite.
http://thehackernews.com/2017/05/shodow ... cking.html
Ce wanacry n'était qu'une vitrine publicitaire destinée à faire monter le prix d'autres failles.

[Vazkor]

Bonjour Bertrand,

J'ai trouvé une liste des extensions chiffrées par Cryptolocker. Il y en a ± 70.

*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.indd, *.jpe, *.jpg, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odc, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pdf, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.sr2, *.srf, *.srw, *.wb2, *.wpd, *.wps, *.x3f, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx.

Les renommer et créer de nouvelles associations est certainement possible. Mais cela me paraît fastidieux et peu efficace.

Je serais plutôt pour créer un coffre-fort VeraCrypt et y mettre tous ses documents importants. [Edité : copier le backup vers un fichier VeraCrypt n'est pas une bonne solution si la taille est importante. Pour 78 Go de données, VeraCrypt m'annonce qu'il faudra 2h30 !]

Une sauvegarde sur un disque externe non connecté en permanence semble quand même la méthode la plus simple.

J'avais déjà un backup de mes données importantes de la partition C: vers la partition D: et une copie de ce backup sur un disque dur externe de 2 To en USB 3.
Je viens de copier le reste de la partition D: sur J: avec Total Commander. Pour copier 78 Go, il lui a fallu un peu plus d 'une heure. Mais comme ce sont 30 dossiers que je modifie rarement, je ne devrai pas mettre à jour cette copie avant longtemps.

Au risque de me répéter, mes sauvegardes je les fais tout bêtement avec un fichier batch appelant une vingtaine de fois la commande robocopy.exe, présente sous toutes les versions récentes de Windows, après XP.

@+

[pierre]

Bonjour, Pirate et Jean Claude,

Oui, on a lu beaucoup de choses à propos de la publication gratuite de cette faille de sécurité et du code pour l'exploiter par le groupe de hackers The Shadow Brokers. Ils l'auraient publiée pour prouver que la collection de failles de sécurité et de codes pour les exploiter, qu'ils ont copiée en piratant le groupe appelé "Equation Group" (on ne sait pas de qui il s'agit exactement - "Equation Group" est le nom que leur a donné Kaspersky tant leur travail est complexe et ils sont supposés être un sous-traitant de la NSA), est authentique. Ils auraient mis à prix cette collection, qui est à vendre (j'ai vu passer une mise à prix de 1 million de BitCoins soit, au cours actuel du Bitcoin : 1 656 982 525.51 € ou 1 837 370 000.00 US$).

Before publicly dumping these exploits in April, the Shadow Brokers put an auction of cyber weapons stolen from NSA’s elite hacking team called Equation Group for 1 Million Bitcoin.
http://thehackernews.com/2017/05/shodow ... cking.html

Grégory SNAUWAERT, d'AxBx (éditeur français de l'antivirus VirusKeeper) m'écrit pour me dire que plusieurs chercheurs et experts pensent que le cybercriminel (ou le groupe) qui a lancé l'attaque WanaCrypt0r ne l'aurait pas fait pour de l'argent (ce ne serait qu'un alibi de façade, les gains seraient estimés, actuellement, a à peine 58.000 US$ (rançons versées par ceux qui avouent l'avoir fait)), mais que ce serait plus un écran de fumée pour pénétrer et effacer des traces d'une compromission antérieure non encore détectée.

Même montant estimé sur Wired, qui évoque un travail d'amateur :

At last count, the group behind WannaCry has earned just over $55,000 from its internet-shaking attack, a small fraction of the multimillion-dollar profits of more professional stealthy ransomware schemes. “From a ransom perspective, it’s a catastrophic failure,” says Craig Williams, a cybersecurity researcher with Cisco’s Talos team. “High damage, very high publicity, very high law-enforcement visibility, and it has probably the lowest profit margin we’ve seen from any moderate or even small ransomware campaign.”
https://www.wired.com/2017/05/wannacry- ... r-mistakes

Un "kill switch" ayant été activé par hasard par ce jeune chercheur anglais de 22 ans, bloquant la propagation de la forme initiale de l'attaque WanaCrypt0r, elle va certainement être abandonnée pour de nouvelles variantes de ce ransomware / cryptoware. D'ailleurs, on peut voir, sur le tracking ci-dessous, que l'attaque est toujours très active, même si elle est en diminution de virulence depuis vendredi dernier. Donc de nouvelles formes de cette attaque sont déjà déployées puisque la première est bloquée.

Situation hier :



Situation ce matin :




@Jean Claude,

Modification des extensions : un utilisateur n'a pas besoin de modifier toutes les extensions et de faire toutes les associations des extensions attaquées par un cryptoware. Il suffit qu'il change les extensions des seuls types de fichiers qu'il manipule avec les applications installées sur sa machine. S'il n'utilise que Word et Excel, il ne modifie que les extensions .xslx et .docx.

Cordialement

[Vazkor]

Bonjour Pierre,

Il suffit qu'il change les extensions des seuls types de fichiers qu'il manipule avec les applications installées sur sa machine. S'il n'utilise que Word et Excel, il ne modifie que les extensions .xslx et .docx.

Oui, avec le danger d'avoir oublié de changer certaines extensions. Et quid des mails et documents reçus de tout type que l'utilisateur a besoin de consulter, même s'ils viennent du réseau de l'entreprise.
Ça pourrait marcher, mais cela ne vaut pas une bonne sauvegarde journalière de tous les fichiers importants.

Par curiosité, j'ai examiné rapidement le dernier backup de fichiers de C sur D, que j'avais créé hier. La sauvegarde ne contient que quelque 46.500 fichiers avec 272 extensions différentes et pèse 78 Go.
J'ai refait une sauvegarde complète de C sur D avec mon fichier batch de commandes robocopy. Cela a pris 34 minutes.
J'ai relancé immédiatement une sauvegarde sans avoir rien modifié. Cette sauvegarde, incrémentielle cette fois, a pris exactement 22 secondes (le temps de vérifier tous les fichiers).
Si je refais une sauvegarde dans 24 heures, la sauvegarde prendra tout au plus 2 à 3 minutes, même pas le temps de me préparer un café.
Le gros avantage de robocopy, à mon avis, c'est qu'il permet de faire une copie miroir. On peut donc rechercher dans la sauvegarde un répertoire ou fichier bien précis, sans devoir relancer un programme tiers qui aura probablement compressé les données dans un format propriétaire.

@+

[pierre]

Surveillance de la virulence de WanaCrypt - WanaCrypt0r :

Le chercheur MalwareTech, ayant découvert un « Kill Switch » (un « bouton d'arrêt d'urgence » du cryptoware, dans le code de WannaCry [WanaCrypt0r]), sous la forme d'un nom de domaine qui n'existe pas, achète ce nom de domaine le jour même du lancement de l'attaque (vendredi 12.05.2017) et le dirige vers ses infrastructures de surveillance. La déclaration « normale » d'achat d'un nom de domaine est accompagnée, ensuite, de la désignation « normale » de l'adresse IP où est hébergé ce domaine. Cette information est gérée par les serveurs DNS répartis sur toute la planète : ils font le rapprochement entre un nom de domaine (du simple texte dont ne sait que faire l'Internet) et son adresse IP (ça, sa parle !). Faites un Whois sur n'importe quel nom de domaine existant et vous verrez apparaître son adresse IP. Pour en savoir plus, voir le schéma de principe de HOSTS et DNS - Résolution des noms de domaine.

• On peut s'interroger sur la présence de cette requête vers un nom de domaine qui n'existe pas. L'une des raisons pourrait être que le cybercriminel a voulu tromper les analyses robotisées en recherche de comportement malveillant et, ainsi, retarder de plusieurs heures la découverte de la charge utile. Ces analyses reposent sur des sandbox pour analyser le comportement des objets actifs (scripts, codes de programmes, etc.). La sandbox aurait regardé cette requête externe, ne l'aurait pas effectuée mais aurait répondu « Réussite », ce qui aurait mis la puce à l'oreille du cryptoware qui se serait arrêté pour ne pas permettre à la sandbox d'observer sa charge utile. Seulement voila, c'est un humain qui a mis son nez dedans !
  
  
  
• Les victimes comptées par les HoneyPots sont celles qui font appel à la résolution de nom de domaine et chez qui WanaCrypt - WanaCrypt0r s'arrête. Ce ne sont donc pas des nombres de victimes qui sont décomptés mais des nombres d'échecs de WanaCrypt - WanaCrypt0r.
  
  
  
• On reste ébahi par le nombre de machines non patchées, dans le monde entier, depuis les petits paradis que sont les îles les plus reculées, aux pays les plus peuplés et consommateurs de nouvelles technologies. A quoi sert-il de répéter sans cesse, depuis que le Web existe sur l'Internet, de mettre ses systèmes d'exploitation et ses applications à jour, à chaque instant. Paramétrez vos Windows Update en mode automatique.

Après cette désignation d'adresse IP à un serveur DNS, vendredi 12.05.2017, il faut environ 24 à 48 heures pour que cette information se propage à travers tous les serveurs DNS du monde.

L'infrastructure de MalwareTech est constituée de serveurs DNS utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant la requête vers le « Kill Switch » donne son emplacement géographique, ce qui permet ces cartographies.

Depuis la mise en place de la redirection de ce nom de domaine, chaque WanaCrypt - WanaCrypt0r contaminant une machine et utilisant ce « Kill Switch » (il y a désormais de nouvelles versions de WanaCrypt - WanaCrypt0r qui n'utilisent plus ce « Kill Switch » et ne sont donc pas détectées de cette manière), fait un « ping » sur les « SinkHole » de MalwareTech (demande de résolution de nom de domaine sur un serveur DNS de l'infrastructure MalwareTech) et peut donc être comptabilisé. Mais, ce qui est comptabilisé est la virulence de WanaCrypt - WanaCrypt0r : ce sont les machines sur lesquelles la version de WanaCrypt - WanaCrypt0r (la première version) ne va pas pouvoir s'exécuter - ce sont les machines protégées par la découverte du « Kill Switch », qui ne sont pas et ne peuvent pas être victimes de la version initiale de WanaCrypt - WanaCrypt0r !

WanaCrypt - WanaCrypt0r, dans sa version initiale, et bien que ne pouvant plus crypter les fichiers des machines contaminées, reste virulent, ce qui est étonnant car, généralement, les botnets utilisés (ici en scanner de failles) n'appartiennent pas au cybercriminels qui lance l'attaque mais à des cybercriminels dont le métier est de contaminer silencieusement des ordinateurs pour en prendre le contrôle et les injecter dans des botsnets dont ils gardent le contrôle et qu'ils louent aux cybercriminels ayant besoin de ces relais. Or, ces locations coûtent de l'argent au cybercriminel ayant écrit WanaCrypt - WanaCrypt0r, donc, quel est l'intérêt de payer pour laisser ce truc ne rien rapporter ?

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

L'amplitude de l'attaque par tranches de 24 heures :

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

Ransomware (cryptoware) WanaCrypt0r (WCry, WannaCry, WannaCrypt, Wana Decrypt0r)

[shl]

En matière de sauvegarde, j'ai 2 systèmes complémentaires :

- Un disque dur branché en permanence, avec une sauvegarde périodique programmée dans SyncBack.

- Je fais régulièrement une sauvagarde une clé externe que ne branche que pour l'occasion. La manip pour brancher la clé est évidemment manuelle, par contre le process de sauvegarde est automatique (dossiers prédéfinis) et rapide (sauvegarde différentielle). Je la fais avec SyncBack, mais le robocopy dont parle Vazkor ferait très bien l'affaire.

Les deux sont complémentaires : la clé est à l'abri car déconnectée, mais est plus ou moins périmée ; le disque peut être vérolé puisque toujours connecté, mais ses fichiers sont toujours (presque) à jour.

(SynckBack est un bel outil, mais objectivement beaucoup trop complexe à utiliser pour démocratiser les sauvegardes auprès du "grand public".)

[Vazkor]

Salut,

- Je fais régulièrement une sauvegarde une clé externe que [je] ne branche que pour l'occasion. La manip pour brancher la clé est évidemment manuelle, par contre le process de sauvegarde est automatique (dossiers prédéfinis) et rapide (sauvegarde différentielle). Je la fais avec SyncBack, mais le robocopy dont parle Vazkor ferait très bien l'affaire.
...
(SynckBack est un bel outil, mais objectivement beaucoup trop complexe à utiliser pour démocratiser les sauvegardes auprès du "grand public".)

Par curiosité j'ai téléchargé Syncback Free et le manuel PDF proposé.

Après installation dans Program Files (x86) ce programme n'occupe que 41,6 Mo, alors que robocopy.exe (version XP07) fourni avec Windows 7 ne pèse que 125 Ko.

Le Manuel SyncBackFreeV7.pdf (467 pages) pèse 10.540 Ko, le fichier d'aide SyncBackFree.chm pèse 4701 Ko, alors qu'une copie robocopy_syntaxe.txt de l'aide de Robocopy avec ses 84 options ne pèse que 9 Ko (<5 Ko, si je ne garde que la syntaxe des quelques options utilisées dans mon fichier RCopyData.cmd de 6 Ko).

Y a pas photo !

Je fais régulièrement une sauvegarde avec Robocopy sur la seconde partition D: de mon disque dur interne de 1To et une copie de cette sauvegarde de temps en temps sur un disque dur externe de 2 To USB3 qui est toujours connecté via son câble à la tour, mais dont l'alimentation est coupée par un interrupteur avec voyant à portée de main.

Pour les intéressés, j'ai mis mon fichier RCopyData.cmd sur DropCanvas avec quelques fichiers dont :
robocopy_syntaxe.txt (la copie de l'aide obtenue via robocopy /? convertie en code ANSI)
robocopy_syntaxe_min.txt, un extrait de cette syntaxe qui ne reprend que les quelques options que j'utilise dans mon fichier batch.

Vous en faites ce que vous voulez.
Les fichiers que je crée sont sous la très restrictive licence WTFPL.

@+