Ded Cryptor : Le ransomware cupide

11 Juil 2016

Dernièrement, les Anglais et les Russes ont été attaqués par un nouveau ransomware de type cheval de Troie appelé Ded Cryptor. Ce dernier est avide en demandant une énorme rançon de 2 bitcoins (soit l’équivalent de 1300$). Malheureusement, aucune solution de déchiffrement n’est disponible pour restaurer les fichiers pris en otage par Ded Cryptor.

Lorsqu’un ordinateur est infecté par Ded Cryptor, le malware change le fond d’écran du système par une image d’un Père Noël au regard diabolique. Une image effrayante et une demande de rançon, ça ressemble à n’importe quel autre ransomware, n’est-ce pas ? Ded Cryptor tire cependant son origine d’une histoire vraiment intéressante, un genre de thriller, avec des bons et des méchants, qui se bagarrent et font des erreurs, et qui en subissent les conséquences.

ded-cryptor-featured

Le ransomware pour tous !

Tout a commencé lorsque Utku Sen, un expert en sécurité turque, a développé un élément de malware et a publié le code en ligne. N’importe qui pouvait le télécharger de GitHub, un service Web accessible et gratuit que les développeurs utilisent pour collaborer sur des projets (le code a été par la suite supprimé, on vous explique pourquoi un peu plus bas).

Il s’agissait d’une idée plutôt révolutionnaire, qui mettait à disposition des criminels le code source gratuitement, qu’ils utilisaient pour créer leurs propres chiffrements. Cependant, Sen, hacker au chapeau blanc était certain que chaque expert en cybersécurité avait besoin de comprendre comment les cybercriminels agissaient, et comment ils utilisaient le code. Il pensait que cette approche inhabituelle aiderait les spécialistes en sécurité à faire face aux hackers de manière plus efficace.

Un projet antérieur, celui du ransomware Hidden Tear, faisait également partie des expériences de Sen. Depuis le tout début, il avait développé un nouveau type de ransomware qui pouvait travaillait hors ligne. Plus tard, EDA2, un modèle plus puissant avait fait son apparition.

EDA2 disposait d’un meilleur chiffrement asymétrique que celui d’Hidden Tear. Il pouvait également communiquer un serveur de commande et contrôle à part entière et chiffrer la clé qu’il transférait, en affichant également une image effrayante à ses victimes.

eda2-screenshot

Le code source d’EDA2 avait aussi été publié sur GitHub, ce qui avait valu à Utku Sen de nombreuses critiques fondées. Le code source était disponible gratuitement, les cybercriminels ambitieux qui n’avaient même pas appris à coder correctement, pouvaient utiliser le ransomware open-source de Sen dans le but de voler de l’argent aux utilisateurs. Avait-il conscience de ce qu’il faisait ?

Oui. Sen avait en effet introduit des portes dérobées dans son ransomware qui lui permettaient de récupérer les clés de chiffrement. Cela signifie que s’il entendait parler que son ransomware était exploité à des fins malveillantes, il pouvait obtenir l’URL du serveur de commande et de contrôle pour extraire les clés et les donner ainsi aux victimes. Seulement il y avait un hic. Pour déchiffrer les fichiers, les victimes avaient besoin de se mettre en contact avec le hacker au chapeau blanc et lui demander les clés. Mais la plupart n’avaient jamais entendu parler d’Utku Sen.

Vous avez créé le ransomware, maintenant vous devez payer la rançon 

Bien évidemment, les chiffrements tiers conçus à partir du code source d’Hidden Tear et d’EDA2 n’ont pas mis longtemps à faire leur apparition. Sen s’était plus ou moins bien occupé du premier : il avait publié la clé et attendu que les victimes la trouvent. Mais les choses ne s’étaient pas déroulées totalement comme prévues concernant le second chiffrement.

 

Magic, le nom du ransomware qui était basé sur EDA2, ressemblait en tout point à l’original et n’annonçait rien d’intéressant. Lorsque Sen s’en est aperçu, il avait tenté d’extraire la clé de déchiffrement comme il l’avait conçue auparavant (via la porte dérobée), mais il n’avait pas réussi. Les cybercriminels utilisant Magic avaient utilisé un hébergeur gratuit pour leur serveur de commande et contrôle. Lorsque l’hébergeur avait reçu des plaintes concernant l’activité malveillante, ce dernier avait simplement éliminé le compte des cybercriminels et tous leurs fichiers. Toute chance d’obtenir les clés de chiffrement avaient alors disparu avec les données.

[featured image]

L’histoire ne s’arrête pas là. Les créateurs de Magic étaient entrés en contact avec Utku Sen, et leur conversation s’était transformée en une longue discussion en public. Ils avaient commencé à proposer de publier la clé de déchiffrement si Sen éliminait le code source d’EDA2 du domaine public et s’il les payait avec 3 bitcoins. Avec le temps, les deux parties étaient parvenues à se mettre d’accord et le paiement de la rançon n’avait pas eu lieu.

 

Grâce aux négociations, les lecteurs avaient appris des choses intéressantes concernant la motivation politique des hackers, et avaient failli publié la clé lorsqu’ils avaient entendu parler de l’histoire d’un homme qui avait perdu toutes les photos de son nouveau-né à cause de Magic.

 

Finalement, Sen avait supprimé le code source d’EDA2 et d’Hidden Tear sur GitHub. Mais il était trop tard ; beaucoup de monde l’avait déjà téléchargé. Le 2 février 2016, l’expert en malware Jornt van der Wiel de Kaspersky Lab avait mentionné dans un article de SecureList qu’il y avait 24 ransomwares à chiffrement dans la nature sur Hidden Tear et EDA2. Depuis, le nombre n’a cessé d’augmenter.

Comment Ded Cryptor a-t-il fait son apparition ? 

Ded Cryptor est un de ces descendants. Il utilise le code source EDA2, mais le serveur de commande et contrôle est hébergé sous Tor pour une meilleure sécurité et une meilleure préservation de l’anonymat. Le ransomware communique avec le serveur via le service tor2web, qui laisse les programmes utiliser Tor sans un navigateur Tor.

 

D’une certaine façon, Ded Cryptor, conçu de plusieurs éléments du code ouvert publié sur GitHub, fait penser au monstre de Frankenstein. Les créateurs ont emprunté le code pour le serveur proxy provenant d’un autre développeur de GitHub, et le code pour l’envoi des requêtes avait été à l’origine écrit par un développeur tiers. Un aspect inhabituel du ransomware est qu’il n’envoie pas de requêtes directement au serveur. A la place, il installe un serveur proxy et l’utilise sur l’ordinateur infecté.

 

A notre connaissance, les développeurs de Ded Cryptor seraient russes. Premièrement, la demande de rançon n’existe seulement qu’en anglais et en russe. Deuxièmement, l’expert de Kaspersky Lab Fedor Sinitsyn a analysé le code du ransomware et a trouvé le chemin d’accès au fichier C:UserssergeyDesktop<b>доделать</b>eda2-mastereda2eda2binReleaseOutputTrojanSkan.pdb. (A propos, le ransomware Magic a été également développé par des Russes).

Malheureusement, on en sait peu sur la façon dont se propage Ded Cryptor. Selon Kaspersky Security Network, le ransomware basé sur EDA2 est principalement actif en Russie, suivi de la Chine, l’Allemagne, le Vietnam et l’Inde.

tear-geagraphy

Hélas, il n’y a pas non plus de moyens de déchiffrer les fichiers infectés par Ded Cryptor. Les victimes peuvent toujours essayer de recouvrir les données du Shadow Copy du système d’exploitation. Mais la meilleure protection reste celle de se prévenir, il est beaucoup plus facile d’éviter une infection que d’en subir les conséquences.

Kaspersky Internet Security détecte tous les chevaux de Troie basés sur Hidden Tear et EDA2 et avertit les utilisateurs lorsqu’il trouve le cheval de Troie Trojan-Ransom.MSIL.Tear. Il bloque également les opérations de ransomware et les empêche de chiffrer les fichiers.

Kaspersky Total Security fait des sauvegardes automatiques, utiles dans plusieurs cas, de l’infection du ransomware à la mort soudaine du disque dur.