Edité par

CryptoLocker et ses dérivés comme CryptoWall, TorrentLocker, Synolocker, CTB-Locker sont des chevaux de Troie destinés à extorquer les gens. Ils répondent à un serveur maître comme le font les botnets et chiffrent les documents personnels de l’utilisateur afin de lui réclamer ensuite une rançon pour les déchiffrer.

Dès que le chiffrement est terminé et que les fichiers sont devenus inaccessibles, Cryptolocker ou ses variantes affichent un message comme celui que vous pouvez voir ci-dessus, réclamant un versement (via carte prépayée ou Bitcoin) d’environ 500 $ pour fournir la clé de déchiffrement à la victime.  Et pour corser le tout, et mettre la pression sur la victime, il y a parfois un délai à respecter (en général, c'est 72h) sans quoi, la clé de déchiffrement sera à tout jamais effacée du serveur (ou alors ça coutera encore plus cher). Pour gagner un peu de temps, vous pouvez aussi changer la date dans votre BIOS, histoire de tromper le cheval de Troie. Le Cryptolocker d’origine n’est plus en circulation grâce à une opération policière baptisée « Opération Tovar", mais il existe de nombreux ransomware similaires plus récents comme CTB-Locker, Synolocker, ou ce nouveau clone de Cryptolocker qui chiffre vos jeux vidéos.

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Facebook

CRYPTOLOCKER

KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "CryptoLocker" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce "*CryptoLocker » KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "CryptoLocker_ » HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce "*CryptoLocker_"

Cryptolocker prend en otage vos données personnelles

Qui se cache derrière Cryptolocker ?

Et bien si on en croit le FBI, l’administrateur principal serait Evgeniy Mikhailovich Bogachev, un russe de 31 ans qui aurait à lui seul, extorqué à ses victimes plus de 100 millions de dollars. Se faisant appeler sur les réseaux « lucky12345 », « Monstr », « Slavik » ou encore « Pollingsoon », Evgeniy était aussi un des administrateurs du botnet Gameover ZeuS qui avant d’être démantelé, comptait plus de 500 000 machines. L’homme qui possède plusieurs propriétés et un yacht serait toujours en Russie et une récompense de 3 millions de dollars est offerte à quiconque aidera à sa capture.

Facebook

Il suffit pour cela d’être vigilant. Vérifiez bien les expéditeurs des emails que vous recevez, n’ouvrez pas de pièces jointes sans être certain qu’elles sont légitimes, et affichez les extensions de fichier dans l’explorateur de fichiers pour repérer les .zip.exe ou les .pdf.exe. Faites aussi attention quand vous téléchargez des logiciels, des cracks, des keygens, de la musique ou des films sur des sites pirates, utilisez un antivirus à jour et surtout, SURTOUT faites des sauvegardes de

Twitter

vos fichiers (en n’oubliant pas de déconnecter le support qui les acceuille de votre ordinateur, sinon celles-ci seront aussi chiffrées par Cryptolocker). À titre préventif, vous pouvez aussi désactiver le support de RDP sur votre machine, qui est utilisé par les ransomwares comme Cryptolocker ou installez un outil comme Cryptoprevent qui modifiera légèrement la configuration de votre ordinateur pour empêcher tout infection par un FileLocker.

Email

Conférence de presse tenue en juin 2014 par James Cole, le Procureur Général du Département de la Justice Américain au sujet de M. Bogachev.

Le plus simple pour savoir si vous êtes infecté, c’est de passer un petit coup d’antivirus : Smart Security d’ESET MalwareBytes Power Eraser de Symantec feront très bien l’affaire. Mais pour vérifier par vous même, il suffit d’ouvrir la base de registre et de vérifier la présence des clés suivantes :

Pensez à faire régulièrement vos sauvegardes

Ne paniquez pas ! Mais soyez rapide.

La chose à ne surtout pas faire : Payer ! Il ne faut pas payer une rançon, car envoyer de l’argent à des cyber criminels, ce n’est jamais bon. De plus, dans certains cas, la clé de déchiffrement envoyée n’est pas la bonne ou ne fonctionne pas correctement et vous aurez tout simplement perdu de l’argent. Ensuite, comme le chiffrement prend du temps, si vous vous rendez compte que Cryptolocker est à l’oeuvre sur votre machine, dépêchez-vous de le stopper en débranchant le câble Ethernet ou la connexion Wifi et en le désinstallant de votre machine avec des outils de désinfection comme ceux mentionnés plus haut. Si vous agissez vite, vous aurez aussi peut-être la chance que vos fichiers ne soient pas tous chiffrés.

X

Une fois Cryptolocker ou son clone désinstallé de votre machine, sachez qu’il est possible aussi de trouver les documents chiffrés présents sur votre disque dur. Pour cela, je vous recommande 2 outils simples à utiliser : ListCriLock Enfin, il existe aussi des solutions pour déchiffrer vos documents. Suite à des opérations de reverse engeenering menées par les éditeurs d’antivirus, plusieurs outils de déchiffrement sont disponibles gratuitement. Vous pouvez donc tenter votre chance avec les outils : DecryptCryptolocker CryptoUnlocker (script Python)

Et bien, pas de chance, puisque sur nos smartphones, des variantes existent aussi comme Simplocker. Ce ransomware à destination des téléphones sous Android, scanne la carte mémoire de l’appareil à la recherche de certains fichiers (jpg, png, doc, pdf, txt, avi, mp4…etc) et les chiffres avant de demander une rançon d’environ 16 €. Heureusement, la société ESET a mis en ligne un outil baptisé Simplocker Decryptor pour vour permettre de récupérer vos fichiers. 

Et sur mobile ?

Un cheval de Troie spécialisé dans l’extorsion

Zeus est un cheval de Troie destiné à voler des informations bancaires par récupération de formulaire, keylogger et attaques en man-in-the-browser. Le virus se transmet par simple visite sur un site infecté et par phishing. Identifié pour la première fois en juillet 2007 alors qu'il est utilisé pour voler des informations au Département des Transports des États-Unis, il devient très répandu en mars 2009. En juin 2009, la société de sécurité informatique Prevx découvre que Zeus a compromis au moins 74 000 comptes FTP sur des sites de grandes compagnies, incluant Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon, and BusinessWeek. Source

et ses clones

Comprendre

Et n’oubliez pas, la meilleure protection antivirus reste votre cerveau !

Pour se propager, Cryptlocker et ses variantes utilisent majoritairement les emails. Ils s’attachent en pièce jointe et s’envoient à tous vos contacts. Dans certains cas, si votre machine est déjà infectée par un botnet de type Gameover ZeuS, Cryptolocker peut aussi entrer par là ou alors se diffuser via téléchargement sur des sites piratés. Quand une personne lance Cryptolocker ou un de ses clones sur un ordinateur Windows, celui-ci s’installe dans le répertoire utilisateur, puis ajoute les clés qui vont bien dans la base de registre pour assurer son lancement à chaque démarrage de la machine.

Twitter

par Korben

Email

Il essaye ensuite d’établir une connexion avec un serveur maître comme le ferait n’importe quel botnet. Dès que la connexion est établie, le serveur génère une paire de clés de chiffrement RSA de minimum 2048 bits et envoie sa clé publique à l’ordinateur infecté.    C’est avec cette clé que Cryptolocker  ou ses dérivés commencent à chiffrer les fichiers se trouvant en local sur le disque dur de la machine, mais aussi sur les disques réseau partagés. Par souci d’économie de temps, il se concentre uniquement sur les documents bureautiques (.doc, .xls, .odf…etc), les photos, la musique, les vidéos…etc. Bref, tout ce qui peut avoir une valeur personnelle.

Enfin, il existe aussi des solutions pour déchiffrer vos documents. Suite à des opérations de reverse engeenering menées par les éditeurs d’antivirus, plusieurs outils de déchiffrement sont disponibles gratuitement. Vous pouvez donc tenter votre chance avec les outils :  DecryptCryptolocker  CryptoUnlocker (script Python)

CryptoLocker et ses dérivés comme CryptoWall, TorrentLocker, Synolocker, CTB-Locker sont des chevaux de Troie destinés à extorquer les gens. Ils répondent à un serveur maître comme le font les botnets et chiffrent les documents personnels de l’utilisateur afin de lui réclamer ensuite une rançon pour les déchiffrer.

Une fois Cryptolocker ou son clone désinstallé de votre machine, sachez qu’il est possible aussi de trouver les documents chiffrés présents sur votre disque dur. Pour cela, je vous recommande 2 outils simples à utiliser : ListCriLock

Il essaye ensuite d’établir une connexion avec un serveur maître comme le ferait n’importe quel botnet. Dès que la connexion est établie, le serveur génère une paire de clés de chiffrement RSA de minimum 2048 bits et envoie sa clé publique à l’ordinateur infecté.  C’est avec cette clé que Cryptolocker commence à chiffrer les fichiers se trouvant en local sur le disque dur de la machine, mais aussi sur les disques réseau partagés. Par souci d’économie de temps, il se concentre uniquement sur les documents bureautiques (.doc, .xls, .odf…etc), les photos, la musique, les vidéos…etc. Bref, tout ce qui peut avoir une valeur personnelle.

Enfin, il existe aussi des solutions pour déchiffrer vos documents. Suite à des opérations de reverse engeenering menées par les éditeurs d’antivirus, plusieurs outils de déchiffrement sont disponibles gratuitement. Vous pouvez donc tenter votre chance avec les outils :  DecryptCryptolocker  CryptoUnlocker (script Python)