Satana: Le ransomware de l’enfer

Cette année, de nouvelles attaques de ransomwares ont fait leur apparition comme des tirs sur un champ de bataille, non-stop. Chaque jour, les chercheurs trouvent de nouvelles variétés et découvrent davantage de méthodes peu conventionnelles qu’utilisent les cybercriminels pour détourner de l’argent directement aux consommateurs et aux entreprises. Dès que les experts en sécurité font des progrès, les escrocs débarquent avec de nouvelles approches et techniques de ransomwares.

Récemment, un autre échantillon sophistiqué de ransomware a été découvert. Le malware en question a été surnommé Satana (« Satan »), dont l’origine serait russe. Le cheval de Troie fait deux choses : il chiffre les fichiers et altère le Master Boot Record (MBR), bloquant ainsi le processus de démarrage de Windows.

Nous avions déjà abordé le thème des chevaux de Troie semant le désordre du MBR, dont le fameux ransomware Petya. D’une certaine façon, Satana agit de la même manière, en injectant par exemple son propre code dans le MBR. Alors que Petya chiffre la Master File Table (MFT), Satana chiffre cependant le MBR. Pour crypter les fichiers de l’ordinateur, Petya comptait sur l’aide d’un cheval de Troie appelé Mischa. Satana gère quant à lui ces deux tâches à lui tout seul.

#Petya #ransomware eats your hard drives – https://t.co/BSqbmRBmGf pic.twitter.com/WpvijrPlSP

— Kaspersky Lab (@kaspersky) March 30, 2016

Pour ceux qui ne seraient pas familiers aux rouages internes des ordinateurs, nous essaierons de vous éclairer davantage. Le MBR fait partie du disque dur. Il contient des informations sur le système de fichiers utilisé par diverses partitions du disque, ainsi que la partition stockée sur le système d’exploitation.

Si le MBR est altéré, ou chiffré, l’ordinateur perd l’accès à un élément essentiel d’informations : la partition qui contient le système d’exploitation. Si l’ordinateur ne peut pas trouver le système d’exploitation, il ne peut démarrer. Les malfaiteurs à l’origine du ransomware Satana profitent de cette disposition pour améliorer leur ransomware à chiffrement avec des aptitudes du bootlocker. Les hackers changent le MBR, en le remplaçant par le code de la demande de rançon, puis chiffre et déplace le MBR autre part.

Le ransomware demande 0.5 bitcoins (l’équivalent d’à peu près 340$) pour déchiffrer le MBR et fournir la clé de déchiffrement des fichiers affectés. Une fois la rançon payée, les créateurs de Satana promettent qu’ils rétabliront l’accès au système d’exploitation et de remettre les choses dans l’ordre. Du moins, c’est ce qu’ils prétendent.

Une fois à l’intérieur du système, Satana analyse tous les lecteurs et réseaux, à la recherche de fichiers de type .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, et .asm et commence à les chiffrer. Il ajoute également une adresse e-mail et trois tirets du bas au début du nom du document (par exemple, test.jpg deviendrait Sarah_G@ausi.com___test.jpg).

Les adresses e-mail servent d’informations de contacts pour les victimes, qui sont censées écrire à l’adresse indiquée pour obtenir les instructions de paiement et ensuite récupérer la clé de déchiffrement. Jusqu’à présent, les chercheurs ont constaté six adresses e-mail utilisées dans cette campagne.

La bonne nouvelle est qu’il est possible de contourner partiellement le verrouillage : avec certaines connaissances, le MBR peut être réparé. Des experts du blog de The Windows Club ont livré des instructions détaillées sur la façon de réparer le MBR en utilisant la fonction de restauration sur Windows. Toutefois, cette dernière est conçue pour des utilisateurs expérimentés qui sont à l’aise au moment de travailler avec l’invite de commande et la fonctionnalité bootrec.exe. Il est peu probable qu’un utilisateur ordinaire prenne le coup de main immédiatement pour ce genre de méthode compliquée et qu’il ne se sente pas à l’aise.

La mauvaise nouvelle est que même si Windows est débloqué avec succès, l’autre moitié du problème, celui des fichiers chiffrés, demeure. Aucune solution n’est disponible le concernant.

A ce stade, Satana semble avoir juste commencé sa carrière de ransomware : il n’est pas répandu et les chercheurs ont repéré quelques failles dans son code. Cependant, il y a de fortes chances pour qu’il s’améliore au fil du temps et évolue en une menace très sérieuse.

10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF

— Kaspersky Lab (@kaspersky) November 30, 2015

Notre premier conseil pour les utilisateurs est qu’ils soient vigilants en permanence. Nos recommandations simples vous aideront à minimiser les risques d’infection et vous épargneront d’un bon nombre de soucis :

1. Sauvegardez régulièrement vos données

Il s’agit de votre police d’assurance. Dans le cas d’une attaque fructueuse de ransomware, vous pouvez tout simplement réinstaller le système d’exploitation et récupérer les fichiers depuis les copies de sauvegarde.

2. Ne vous rendez pas sur des sites Web douteux et n’ouvrez pas des pièces jointes suspectes, même si vous avez reçu le lien ou l’e-mail d’une personne que vous connaissez. Soyez très prudents : on en sait encore peu sur les techniques de propagation de Satana.

3. Assurez-vous d’utiliser une solution antivirus efficace. Kaspersky Internet Security détecte le cheval de Troie Satana comme étant le Trojan-Ransom.Win32.Satan et empêche le chiffrement de vos fichiers ou le verrouillage de votre système.

4. Pour finir, suivez nos actualités !

Nous faisons toujours de notre mieux pour vous dévoiler les dernières menaces le plus rapidement possible, et ce afin d’éviter que les malwares vous prennent au dépourvu.