{"id":10477,"date":"2018-05-07T07:55:06","date_gmt":"2018-05-07T07:55:06","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10477"},"modified":"2019-11-22T08:58:57","modified_gmt":"2019-11-22T08:58:57","slug":"synack-ransomware-featured","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/synack-ransomware-featured\/10477\/","title":{"rendered":"Ransomware SynAck : un v\u00e9ritable doppelgangster"},"content":{"rendered":"

Les malwares \u00e9voluent et les escrocs ajoutent de nouvelles fonctions et techniques pour que les antivirus ne puissent pas les d\u00e9tecter. Parfois ils \u00e9voluent assez rapidement. Par exemple, le ransomware SynAck, connu depuis septembre 2017, \u00e9tait m\u00e9diocre et pas particuli\u00e8rement rus\u00e9, mais il a r\u00e9cemment \u00e9t\u00e9 restructur\u00e9 et est devenu une menace tr\u00e8s sophistiqu\u00e9e qui \u00e9vite d\u2019\u00eatre d\u00e9tect\u00e9e. Il est d\u2019une efficacit\u00e9 sans pr\u00e9c\u00e9dent, et utilise une nouvelle technique appel\u00e9e Process Doppelg\u00e4nging.<\/p>\n

Une attaque sournoise<\/strong><\/h2>\n

Les cr\u00e9ateurs de malware utilisent g\u00e9n\u00e9ralement l\u2019offuscation<\/a> (tentative pour rendre le code illisible pour que les antivirus ne puissent pas reconna\u00eetre le malware), et emploient un progiciel sp\u00e9cial pour le faire. Cependant, les d\u00e9veloppeurs d\u2019antivirus ont compris le syst\u00e8me, et d\u00e9sormais les logiciels d\u2019antivirus d\u00e9font les progiciels sans effort. Les d\u00e9veloppeurs qui se cachent derri\u00e8re SynAck ont choisi une technique qui demandent plus d\u2019effort des deux c\u00f4t\u00e9s\u00a0: l\u2019offuscation minutieuse du code avant de le compiler<\/em> complique s\u00e9rieusement sa d\u00e9tection par les solutions de s\u00e9curit\u00e9.<\/p>\n

La nouvelle version de SynAck utilise d\u2019autres techniques d\u2019\u00e9vasion. Elle utilise \u00e9galement une technique assez compliqu\u00e9e de Process Doppelg\u00e4nging, et c\u2019est du jamais vu. Process Doppelg\u00e4nging a \u00e9t\u00e9 pr\u00e9sent\u00e9 pour la premi\u00e8re fois par des chercheurs en mati\u00e8re de s\u00e9curit\u00e9 lors du Black Hat 2017<\/a>, apr\u00e8s quoi les malfaiteurs s\u2019en sont empar\u00e9s et l\u2019ont utilis\u00e9 dans plusieurs esp\u00e8ces de malware.<\/p>\n

Process Doppelg\u00e4nging repose sur certaines caract\u00e9ristiques du syst\u00e8me de fichiers NTFS, et un chargeur de processus h\u00e9rit\u00e9 de Windows, qui existe dans toutes les versions Windows depuis Windows XP. Cela permet aux d\u00e9veloppeurs de cr\u00e9er un malware sans fichier qui peut faire passer les actions malveillantes pour des processus inoffensifs et l\u00e9gitimes. Cette technique est complexe. Pour en savoir plus, vous pouvez lire un article plus d\u00e9taill\u00e9 sur ce sujet sur Securelist<\/a>.<\/p>\n

SynAck dispose de deux autres caract\u00e9ristiques notables. Tout d\u2019abord, ce malware v\u00e9rifie s\u2019il est install\u00e9 dans le bon<\/em> r\u00e9pertoire. Si ce n\u2019est pas le cas, il ne s\u2019ex\u00e9cute pas. Il s\u2019agit d\u2019une tentative pour \u00e9viter d\u2019\u00eatre d\u00e9tect\u00e9 par les sandbox automatiques utilis\u00e9es par plusieurs solutions de s\u00e9curit\u00e9. Ensuite, SynAck v\u00e9rifie s\u2019il est install\u00e9 sur un ordinateur connect\u00e9 \u00e0 un clavier et analyse l\u2019alphabet utilis\u00e9, dans ce cas cyrillique. Si tel est le cas, il ne fait rien. Il s\u2019agit d\u2019une technique assez r\u00e9pandue pour restreindre un malware \u00e0 certaines r\u00e9gions.<\/p>\n

Le crime habituel<\/strong><\/h3>\n

Pour l\u2019utilisateur, SynAck est plus qu\u2019un ransomware puisqu\u2019il se distingue notamment par une ran\u00e7on brutale\u00a0: 3 000 $. Avant d\u2019encoder les fichiers de l\u2019utilisateur, SynAck s\u2019assure qu\u2019il a acc\u00e8s aux fichiers importants que l\u2019attaque cible\u00a0; le ransomware d\u00e9sactive certains processus qui sinon maintiendraient les fichiers en activit\u00e9 et les rendraient inatteignables.<\/p>\n

La victime voit la demande de ran\u00e7on sur l\u2019\u00e9cran d\u2019identification, accompagn\u00e9e des instructions pour contacter les escrocs. Malheureusement, SynAck utilise un algorithme d\u2019encodage fort, et aucun d\u00e9faut n\u2019a \u00e9t\u00e9 d\u00e9tect\u00e9 dans son ex\u00e9cution. Par cons\u00e9quent, il n\u2019existe aucune technique permettant de d\u00e9crypter les fichiers encod\u00e9s.<\/p>\n

\"\"<\/p>\n

Nous avons vu que SynAck est principalement distribu\u00e9 par force brute via le protocole Remote Desktop Protocol, ce qui signifie qu\u2019il cible surtout les utilisateurs professionnels. Le nombre d\u2019attaques perp\u00e9tr\u00e9es jusqu\u2019\u00e0 pr\u00e9sent (toutes aux \u00c9tats-Unis, Kowe\u00eft et Iran) confirme cette hypoth\u00e8se.<\/p>\n

Se pr\u00e9parer \u00e0 la nouvelle g\u00e9n\u00e9ration de ransomware<\/strong><\/h3>\n

M\u00eame si SynAck n\u2019en a pas apr\u00e8s vous, son existence indique clairement que le ransomware \u00e9volue. Il est de plus en plus sophistiqu\u00e9, et il est de plus en plus compliqu\u00e9 de s\u2019en prot\u00e9ger. Les services de d\u00e9cryptage apparaitront moins souvent puisque les escrocs ont appris \u00e0 ne pas commettre les m\u00eames erreurs que celles qui ont permis de cr\u00e9er ces services de d\u00e9cryptage. Bien qu\u2019ils laissent du terrain aux mineurs cach\u00e9s (tout comme nous l\u2019avions anticip\u00e9<\/a>), le ransomware est encore une grande tendance mondiale, et il est important que chaque utilisateur d\u2019Internet sache comment se prot\u00e9ger contre de telles menaces.<\/p>\n

Voici quelques conseils qui peuvent vous aider \u00e0 ne pas \u00eatre infect\u00e9 ou, si besoin, d\u2019en minimiser les cons\u00e9quences.<\/p>\n