Ransom32, un « ransonware » javascript multi-plateforme

[et_pb_section admin_label= »IMAGE_UNE » transparent_background= »off » allow_player_pause= »off » inner_shadow= »off » parallax= »on » parallax_method= »on » custom_padding= »275px||| » padding_mobile= »off » make_fullwidth= »off » use_custom_width= »off » width_unit= »on » make_equal= »off » use_custom_gutter= »off » fullwidth= »on » specialty= »off » disabled= »off » background_image= »https://computerz.solutions/wp-content/uploads/2016/01/ransomware.jpg »]

Que vous soyez sous Windows, une distribution Linux ou encore avec un Mac, vous n’êtes pas à l’abri d’attraper un « nouveau » type de virus qu’est « Ransom32″…

Les logiciels « Ransomware » sont déjà connus et étaient particulièrement virulent en 2015, notamment avec le très (malheureusement) connu « Cryptolocker« . Il s’agit de malware qui s’installent par le biais d’applications publicitaires ou vérolées (comme tout bon virus d’autrefois) et vous bloque tout ou en partie des fichiers. Vous devez payer une certaine somme pour espérer déverrouiller vos fichiers infectés.
Mais aujourd’hui, les protections antivirales / anti-spyware / anti-malware sont en mesure de détecter et de bloquer la plupart de ces attaques.

Toutefois, la tendance actuelle du monde informatique étant portée sur le « full web » ou le « cloud », de nouveaux virus et de nouvelles attaques sont en train d’émerger ; que se soit pour paralyser un système ou le détruire de A à Z, il faut renouveler les attaques.
Aujourd’hui, avec « Ransom32 », la nouvelle génération de « ransomware » est arrivée : exit le logiciel lourd codé en C# ou autre, il s’agit d’un malware écrit intégralement en javascript !


Tous les navigateurs actuels sur toutes les plateformes PC utilisent des framework. Ces framework peuvent servir pour TOUT et n’importe quoi. Certains ont déjà compris l’intérêt de créer des virus / malware typés web pour pouvoir justement infecter le plus de machines possibles, tout en passant via le réseau Tor.

Le gros problème, c’est la détection en lui-même du malware – se basant sur des technologies légitimes et « normales », il devient difficile de déceler ce type de fichier. Les IDS vont donc devoir scanner encore plus en profondeur les fichiers et analyser / comprendre le comportement des scripts… Encore un sacré travail
De plus, Ransom32 a été conçu pour être cloné et est facilement modifiable par quiconque souhaiterait l’utiliser – de quoi donner du fil à retordre pour les éditeurs de solutions de protection sur nos PC !

Pour se prémunir de ces malware, le conseil suivant s’applique partout, tous les jours pour tout : SAUVEGARDEZ ! Sauvegardez le plus possible, sur différent support de stockage !

Pour avoir des détails complémentaires sur le malware, je ne peux que vous suggérer l’excellent article (assez) technique d’Emsisoft, dont l’équipe est à l’origine de la découverte.

Source

Julien HOMMET

Passionné depuis toujours par l’informatique, je transforme ma passion en expertise. J’utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l’utilisation des OS Debian et Archlinux.
L’infosec m’ouvre les yeux sur les enjeux actuels et futurs de l’IT.

2 thoughts on “Ransom32, un « ransonware » javascript multi-plateforme”

  1. J’ai décider de jouer avec le feu, j’ai donc créer une machine propre avec un beau windows 10 tout neuf. J’ai fait comme tout utilisateur normal, j’ai créé un compte avec des droits administrateurs et j’ai transformé mon compte local en compte Microsoft, j’ai donc eu à ma disposition un beau OneDrive tout neuf. Et comme à la radio ( en Belgique ) Proximus ( un FAI ) fait de pub pour OneDrive ( business ) , j’y ai mis tout mes fichiers importants ( j’ai fait semblant 🙂 ) . Je me suis donc envoyé un mail que je savais infecté avec une belle pièce jointe zippée et j’ai cliqué sur le fichier *.js et j’ai observé (avec process explorer ). Le temps que le fichier *.js télécharge un exécutable, quelques minutes après j’ai vu apparaître un processus et les fichiers ont commencés à apparaître dans ma fenêtre d’analyse de process explorer. Mais quand on joue à l’imbécile, on risque de se faire mal. Non seulement, les fichiers de ma machine disparaissait mais quelle ne fut pas ma surprise de voir des fichiers d’une machine sur le réseau qui se faisait massacrer. Entre temps, OneDrive synchronisait gentiment toutes les modifications. Comme sauvegarde, on doit sans doute faire mieux.
    Ce qui me fait vraiment peur :
    1) Pas de message d’alerte, le fichier *.js est exécuté . ( Et meme, un antivirus n’est plus très utile, le fichier *.js envoyé sur virustotal était reconnu par moins de 10 % d’antivirus et pas les plus connu, on oublie AVG, AVAST et ESET ).
    2) Un utilisateur qui achète son PC est administrateur, aucune barrière, l’entièreté de la machine est atteinte, services et rootkit au rendez-vous. ( d’ailleurs, je ne comprends pas cette manière de faire que je considère comme irresoponsable de la part de Microsoft )
    3) Et mon beau OneDrive m’a permis de récupérer mes beaux fichiers cryptés partout, je m’étonne que le créateur du virus ne prévois pas un déploiement via le cloud. L’utilisateur de base serait capable de cliquer à nouveau sur un fichier ayant le nom : « lisez moi pour récupérer vos fichiers. js »
    4) Le virus attaque le réseau, le processus est rapide, les antivirus ne protège pas, c’est donc une véritable saloperie.

    La seule conclusion, faire des backups ( sur un disque que l’on débranche ), faire des backup, faire des backups ….

    NB: Je me trompe peut-être mais est ce que google, apple et Microsoft n’ont pas des mécanismes de protection ?

    1. Merci Daniel pour ce retour d’expérience un peu « forcé » 🙂 – C’est bon de savoir que ce genre de virus fait bien plus de ravage qu’il n’y paraît…
      Ce genre de virus via Javascript risque d’être compliqué à déceler pour les antivirus, notamment parce qu’en tant que tel – Kaspersky est déjà sur le coup, il faut attendre les prochaines mises à jour pour avoir des algorithmes spécifiquement étudiés et conçus pour bloquer l’utilisation de ce genre de script.
      Ça me rappelle les virus « de l’époque » en VBA / Macros pour Word et Excel ! 🙂

      La seule et réelle solution à peu près fiable reste en effet la duplication des sauvegardes sur différents supports de stockage : Copier le NAS sur un disque dur externe lui même copié sur un autre disque dur externe, tout en ayant une sauvegarde « dans le cloud » type OneDrive pour Microsoft ou encore l’excellente solution (payante) de MozyPro… !

      Google, Apple et Microsoft n’ont pas encore de réelles protections contre ce genre d’attaque. Microsoft (via Office 365 / Exchange Online) et ses 3 antivirus intégrés commencent petit-à-petit à déceler certains fichiers .js, j’ai fais le test avec un compte de démonstration et un fichier .js infecté.
      Sachant que ce genre d’attaque tend à être en vogue avec les « crypto-virus », les outils vont arriver assez rapidement ! 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close