Tout a commenc\u00e9 lorsque Utku Sen<\/a>, un expert en s\u00e9curit\u00e9 turque, a d\u00e9velopp\u00e9 un \u00e9l\u00e9ment de malware et a publi\u00e9<\/a> le code en ligne. N\u2019importe qui pouvait le t\u00e9l\u00e9charger de GitHub, un service Web accessible et gratuit que les d\u00e9veloppeurs utilisent pour collaborer sur des projets (le code a \u00e9t\u00e9 par la suite supprim\u00e9, on vous explique pourquoi un peu plus bas).<\/p>\n Il s\u2019agissait d\u2019une id\u00e9e plut\u00f4t r\u00e9volutionnaire, qui mettait \u00e0 disposition des criminels le code source gratuitement, qu\u2019ils utilisaient pour cr\u00e9er leurs propres chiffrements. Cependant, Sen, hacker au chapeau blanc \u00e9tait certain que chaque expert en cybers\u00e9curit\u00e9 avait besoin de comprendre comment les cybercriminels agissaient, et comment ils utilisaient le code. Il pensait que cette approche inhabituelle aiderait les sp\u00e9cialistes en s\u00e9curit\u00e9 \u00e0 faire face aux hackers de mani\u00e8re plus efficace.<\/p>\n Un projet ant\u00e9rieur, celui du ransomware Hidden Tear<\/a>, faisait \u00e9galement partie des exp\u00e9riences de Sen. Depuis le tout d\u00e9but, il avait d\u00e9velopp\u00e9 un nouveau type de ransomware qui pouvait travaillait hors ligne<\/a>. Plus tard, EDA2, un mod\u00e8le plus puissant avait fait son apparition.<\/p>\n EDA2 disposait d\u2019un meilleur chiffrement asym\u00e9trique que celui d\u2019Hidden Tear. Il pouvait \u00e9galement communiquer un serveur de commande et contr\u00f4le \u00e0 part enti\u00e8re et chiffrer la cl\u00e9 qu\u2019il transf\u00e9rait, en affichant \u00e9galement une image effrayante \u00e0 ses victimes.<\/p>\n Le code source d\u2019EDA2 avait aussi \u00e9t\u00e9 publi\u00e9 sur GitHub, ce qui avait valu \u00e0 Utku Sen de nombreuses critiques fond\u00e9es. Le code source \u00e9tait disponible gratuitement, les cybercriminels ambitieux qui n\u2019avaient m\u00eame pas appris \u00e0 coder correctement, pouvaient utiliser le ransomware open-source de Sen dans le but de voler de l\u2019argent aux utilisateurs. Avait-il conscience de ce qu\u2019il faisait\u00a0?<\/p>\n Oui. Sen avait en effet introduit des portes d\u00e9rob\u00e9es dans son ransomware qui lui permettaient de r\u00e9cup\u00e9rer les cl\u00e9s de chiffrement. Cela signifie que s\u2019il entendait parler que son ransomware \u00e9tait exploit\u00e9 \u00e0 des fins malveillantes, il pouvait obtenir l\u2019URL du serveur de commande et de contr\u00f4le pour extraire les cl\u00e9s et les donner ainsi aux victimes. Seulement il y avait un hic. Pour d\u00e9chiffrer les fichiers, les victimes avaient besoin de se mettre en contact avec le hacker au chapeau blanc et lui demander les cl\u00e9s. Mais la plupart n\u2019avaient jamais entendu parler d\u2019Utku Sen.<\/p>\n Vous avez cr<\/strong>\u00e9\u00e9<\/strong> le ransomware, maintenant vous devez payer la ran<\/strong>\u00e7<\/strong>on<\/strong>\u00a0<\/strong>!\u00a0<\/strong><\/p>\n Bien \u00e9videmment, les chiffrements tiers con\u00e7us \u00e0 partir du code source d\u2019Hidden Tear et d\u2019EDA2 n\u2019ont pas mis longtemps \u00e0 faire leur apparition. Sen s\u2019\u00e9tait plus ou moins bien occup\u00e9 du premier\u00a0: il avait publi\u00e9 la cl\u00e9 et attendu que les victimes la trouvent. Mais les choses ne s\u2019\u00e9taient pas d\u00e9roul\u00e9es totalement comme pr\u00e9vues concernant le second chiffrement.<\/p>\n \u00a0<\/p>\n Magic, le nom du ransomware qui \u00e9tait bas\u00e9 sur EDA2, ressemblait en tout point \u00e0 l\u2019original et n\u2019annon\u00e7ait rien d\u2019int\u00e9ressant. Lorsque Sen s\u2019en est aper\u00e7u, il avait tent\u00e9 d\u2019extraire la cl\u00e9 de d\u00e9chiffrement comme il l\u2019avait con\u00e7ue auparavant (via la porte d\u00e9rob\u00e9e), mais il n\u2019avait pas r\u00e9ussi. Les cybercriminels utilisant Magic avaient utilis\u00e9 un h\u00e9bergeur gratuit pour leur serveur de commande et contr\u00f4le. Lorsque l\u2019h\u00e9bergeur avait re\u00e7u des plaintes concernant l\u2019activit\u00e9 malveillante, ce dernier avait simplement \u00e9limin\u00e9 le compte des cybercriminels et tous leurs fichiers. Toute chance d\u2019obtenir les cl\u00e9s de chiffrement avaient alors disparu avec les donn\u00e9es.<\/p>\n [featured image]<\/strong><\/p>\n L\u2019histoire ne s\u2019arr\u00eate pas l\u00e0. Les cr\u00e9ateurs de Magic \u00e9taient entr\u00e9s en contact<\/a> avec Utku Sen, et leur conversation s\u2019\u00e9tait transform\u00e9e en une longue discussion en public. Ils avaient commenc\u00e9 \u00e0 proposer de publier la cl\u00e9 de d\u00e9chiffrement si Sen \u00e9liminait le code source d\u2019EDA2 du domaine public et s\u2019il les payait avec 3 bitcoins. Avec le temps, les deux parties \u00e9taient parvenues \u00e0 se mettre d\u2019accord et le paiement de la ran\u00e7on n\u2019avait pas eu lieu.<\/p>\n \u00a0<\/p>\n Gr\u00e2ce aux n\u00e9gociations, les lecteurs avaient appris des choses int\u00e9ressantes concernant la motivation politique des hackers, et avaient failli publi\u00e9 la cl\u00e9 lorsqu\u2019ils avaient entendu parler de l\u2019histoire d\u2019un homme qui avait perdu toutes les photos de son nouveau-n\u00e9 \u00e0 cause de Magic.<\/p>\n \u00a0<\/p>\n Finalement, Sen avait supprim\u00e9<\/a> le code source d\u2019EDA2 et d\u2019Hidden Tear sur GitHub. Mais il \u00e9tait trop tard\u00a0; beaucoup de monde l\u2019avait d\u00e9j\u00e0 t\u00e9l\u00e9charg\u00e9. Le 2 f\u00e9vrier 2016, l\u2019expert en malware Jornt van der Wiel de Kaspersky Lab avait mentionn\u00e9 dans un article de SecureList<\/a> qu\u2019il y avait 24 ransomwares \u00e0 chiffrement dans la nature sur Hidden Tear et EDA2. Depuis, le nombre n\u2019a cess\u00e9 d\u2019augmenter.<\/p>\n Comment Ded Cryptor a-t-il fait son apparition ?\u00a0<\/strong><\/p>\n Ded Cryptor est un de ces descendants. Il utilise le code source EDA2, mais le serveur de commande et contr\u00f4le est h\u00e9berg\u00e9 sous Tor pour une meilleure s\u00e9curit\u00e9 et une meilleure pr\u00e9servation de l\u2019anonymat. Le ransomware communique avec le serveur via le service tor2web<\/a>, qui laisse les programmes utiliser Tor sans un navigateur Tor.<\/p>\n \u00a0<\/p>\n D\u2019une certaine fa\u00e7on, Ded Cryptor, con\u00e7u de plusieurs \u00e9l\u00e9ments du code ouvert publi\u00e9 sur GitHub, fait penser au monstre de Frankenstein. Les cr\u00e9ateurs ont emprunt\u00e9 le code pour le serveur proxy provenant d\u2019un autre d\u00e9veloppeur de GitHub, et le code pour l\u2019envoi des requ\u00eates avait \u00e9t\u00e9 \u00e0 l\u2019origine \u00e9crit par un d\u00e9veloppeur tiers. Un aspect inhabituel du ransomware est qu\u2019il n\u2019envoie pas de requ\u00eates directement au serveur. A la place, il installe un serveur proxy et l\u2019utilise sur l\u2019ordinateur infect\u00e9.<\/p>\n \u00a0<\/p>\n A notre connaissance, les d\u00e9veloppeurs de Ded Cryptor seraient russes. Premi\u00e8rement, la demande de ran\u00e7on n\u2019existe seulement qu\u2019en anglais et en russe. Deuxi\u00e8mement, l\u2019expert de Kaspersky Lab Fedor Sinitsyn a analys\u00e9 le code du ransomware et a trouv\u00e9 le chemin d\u2019acc\u00e8s au fichier C:UserssergeyDesktop<b>\u0434\u043e\u0434\u0435\u043b\u0430\u0442\u044c<\/strong><\/b>eda2-mastereda2eda2binReleaseOutputTrojanSkan.pdb. (A propos, le ransomware Magic a \u00e9t\u00e9 \u00e9galement d\u00e9velopp\u00e9 par des Russes).<\/p>\n Malheureusement, on en sait peu sur la fa\u00e7on dont se propage Ded Cryptor. Selon Kaspersky Security Network, le ransomware bas\u00e9 sur EDA2 est principalement actif en Russie, suivi de la Chine, l\u2019Allemagne, le Vietnam et l\u2019Inde.<\/p>\n H\u00e9las, il n\u2019y a pas non plus de moyens de d\u00e9chiffrer les fichiers infect\u00e9s par Ded Cryptor. Les victimes peuvent toujours essayer de recouvrir les donn\u00e9es du Shadow Copy<\/a> du syst\u00e8me d\u2019exploitation. Mais la meilleure protection reste celle de se pr\u00e9venir, il est beaucoup plus facile d\u2019\u00e9viter une infection que d\u2019en subir les cons\u00e9quences.<\/p>\n![\"eda2-screenshot\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2016\/07\/06094638\/eda2-screenshot.jpg\")
<\/p>\n![\"tear-geagraphy\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2016\/07\/06094636\/tear-geagraphy.jpg\")
<\/p>\n