Archives

La famille des ransomwares vient de s’agrandir… Le petit nouveau s’appelle Ransom32 et il est le premier du genre à être codé en JavaScript. Grâce à cela, aucun système d’exploitation n’est à l’abri : OS X, Windows, probablement DSM via des paquets tiers de source douteuse. 

Un rançongiciel est un logiciel malveillant capable de chiffer intégralement les données de l’utilisateur pour lui demander une rançon en échange de la clé de chiffrement. En payant dans le délai imposé par le développeur, la victime a de fortes chances de retrouver ses données. Dans le cas contraire, les données sont irrécupérables.

Ce type de menace est très efficace car elle repose sur la peur de perdre des données importantes ou représentant une quantité de travail conséquente. Le FBI recommande d’ailleurs de payer : les chiffrements utilisés rendent la récupération de données bien souvent impossible. Le FBI ajoute également que ne pas rendre les données chiffrées est « mauvais pour le business » des développeurs : si les fichiers ne sont pas récupérables après paiement de la rançon, plus personne ne paiera. De son côté, StopRansomware, soutenu par la Gendarmerie Nationale, recommande de ne jamais payer.

Ransom32, pionnier du JavaScript

Les malwares sont en constante évolution, leurs auteurs cherchent à les rendre de plus en plus efficaces. Ransom32 peut en théorie s’exécuter indifféremment sur Windows, OS X ou Linux. Qu’en est-il vraiment ?
Il a la particularité d’être écrit entièrement en JavaScript, langage très présent dans le développement web. La société EMSISoft a découvert Ransom32 dans une archive auto-extractible WinRAR pour Windows. Le framework utilisé est NW.js (Node-Webkit), conçu à la base pour le développement basé sur Node.js et Chromium. Ce framework permet aux applications web de fonctionner avec les mêmes privilèges qu’une application classique et leur permet de sortir de la sandbox du navigateur dans lequel le script est exécuté.

Ransom32

Je m’adapte, tu t’adaptes, il s’adapte !

Théorie du fonctionnement de cette petite bête : Ransom32 commence par infecter une machine lambda en étant envoyé dans une pièce jointe d’un email. Le sujet du mail est la plupart du temps : notification de livraison, messages vocaux en attente, ou tout ce qui pourrait vous inciter à ouvrir l’archive et lancer le script. Comme bien souvent, l’interface chaise-clavier est la principale origine de la contamination. Une fois la pièce jointe ouverte, Ransom32 infecte la machine et chiffre alors les données personnelles en AES 128 bits puis réclame une rançon en Bitcoins. Il est connecté à un serveur C&C via le réseau Tor.

D’après Fabian Wosar, chercheur chez EMSISoft, il n’existe qu’un exécutable pour Windows mais celui-ci précise que la conception de Ransom32 lui permet d’être très facilement adaptable sur une autre plateforme. NW.js étant très répandu, le système hôte ne vous alertera pas. EMSISoft rappelle qu’un antivirus à jour augmente les chances de détection et de blocage. Mais, deux semaines après sa découverte, Ransom32 n’est pas encore dans les bases de données de tous les éditeurs d’antivirus.

Ransom32, « ransomware-as-a-service »

ransom32_generate
Crédits : EMSISoft

Enfin, NextINpact précise que la conception de Ransom32 simplifie la vie de ceux qui souhaitent s’en servir. Il y a un tableau de bord permettant de renseigner facilement quelques informations. Cela veut dire que tout pirate ayant un compte BitCoin et un navigateur Tor peut s’en servir. Selon EMSISoft, il est commercialisé sur des forums spécialisés sur le réseau Tor via une offre simple : les développeurs demandent 25% des gains.

Comment s’en protéger ? La façon la plus simple est de sauvegarder ses données importantes sur un support de stockage externe qui n’est pas branché en permanence à une machine. Les solutions de sauvegarde dans le cloud sont inutiles : en détectant le changement sur vos fichiers, les clients OneDrive, Google Drive ou Dropbox vont envoyer les fichiers chiffrés dans le cloud et écraser les données saines.

Enfin, il est également important de faire attention aux mails que l’on reçoit. L’archive de Ransom32 pèse tout de même 32 Mo et attirera instantanément la méfiance des utilisateurs les plus avertis tandis que d’autres n’y prêteront pas attention. Il n’est pas non plus impossible de le voir arriver sur les NAS XPEnology si des développeurs peu scrupuleux l’intègre dans un paquet de source tierce.