===================================================================== Message d'alerte du CERT-Renater (certsvp@renater.fr) ===================================================================== Bonjour, Ces derniers jours, plusieurs établissements nous ont remonté des infections par un code malveillant chiffrant l’ensemble des fichiers locaux et distants accessibles par un PC infecté. Ce malware est probablement CTB-Locker. Cette attaque conduit à la perte d’accès à ces fichiers compte-tenu de l’absence de méthode de récupération connue. Le mode de propagation a pu être établi : - L’utilisateur reçoit un courrier électronique en français, typiquement une prétendue commande contenant en pièce jointe un fichier compressé .cab. Le texte du message incite l'utilisateur à ouvrir la pièce jointe afin de consulter la facture liée à la fameuse commande. Pour l'instant c'est le scénario de la commande avec facture qui semble le plus prisé par les attaquants mais cela peut changer très rapidement. Le fichier contenu dans la pièce jointe serait dans la plupart des cas ce qu'on appelle un "dropper" : un fichier servant à aller en chercher un autre contenant la vraie charge malveillante. Dans ce cas ci, en plusieurs occasions les attaquants utilisaient le Win32/Dalexis : http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDownloader:Win32/Dalexis - Lors de la lecture de ce fichier .cab, l’ordinateur est conduit à télécharger une application qui sera exécutée automatiquement. - Ce second programme chiffre l’ensemble des fichiers auxquels il peut accéder, aussi bien sur les disques durs locaux que sur les partages réseaux ou les disques externes qui y seraient directement connectés. - A l'ouverture des fichiers crypté, une fenêtre permet de connaitre la procédure de payement de la rançon. Celle-ci est exigée sous la forme de bitcoins. Après payement, un téléchargement via le réseau TOR permet lancer le déchiffrement. A l’heure actuelle, le fichier .cab malveillant et l’application de chiffrement ne sont pas détectées par tous les antivirus. Signalons que le code malveillant n'est pas toujours transmis par le biais d'une pièce jointe. Il s'agit parfois d'un lien, une URL malveillante que l'utilisateur est incité à suivre selon un prétexte qui peut varier. Dans l'exemple suivant, l'utilisateur est prié de mettre à jour son navigateur Google Chrome afin de se protéger d'attaques éventuelles : https://blog.malwarebytes.org/social-engineering/2015/02/google-chrome-update-spam-drops-ctb-lockercritroni-ransomware/ La seule mesure corrective actuellement disponible est la récupération des fichiers à partir de sauvegardes. En prévention, il est possible de bloquer les extensions .cab sur la messagerie. Toutefois cette mesure peut facilement être contournée par l’attaquant. On vient d'ailleurs de nous signaler une pièce jointe compressée 2 fois au format .zip. Il est également souhaitable de rappeler les précautions à prendre lors de la réception de courrier électronique, en particulier de ne pas ouvrir de pièces jointes à des messages douteux. Un article du blog du CERT de la société générale dont le lien figure ci-dessous, recense un certain nombre d'URL utilisées par le dropper pour télécharger la charge active et malveillante de l'attaque. Les établissements disposant de proxys peuvent en activer le blocage à ce niveau. Pour en savoir plus : Blog du CERT de la Société Générale : CTB Locker: a new massive crypto-ransowmare campaign http://blog.cert.societegenerale.com/2015/02/ctb-locker-new-massive-crypto.html Site Web Stop Ransomware : http://stopransomware.fr/ Une version améliorée du ransomware CTB-Locker fait son apparition ! http://blog.kaspersky.fr/version-amelioree-ransomware-ctb-locker/4244/ Cordialement, ========================================================= Serveur de référence du CERT-Renater https://services.renater.fr/ssi/ ========================================================== + CERT-RENATER | tel : 01-53-94-20-44 + + 23 - 25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email: certsp@renater.fr + ==========================================================