Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



Les prédateurs sur Internet



IoT : comment j'ai piraté ma maison



Courrier indésirable en juillet 2014



Paiements en ligne : sécurité et confort



10 astuces simples pour renforcer la sécurité de votre Mac
 
 

  Page d'accueil / Analyses

Emergence des premiers codes malicieux maître-chanteurs

26.06.2006   |   comment

Olga Emelyanova
Denis Nazarov

«Déchiffré par Kaspersky Lab!»

Le message suivant était publié le 7 juin 2006 sur le blog de Kaspersky Lab: «Le nouveau Gpcode de 660 bits a été... déchiffré par Kaspersky Lab! Nous avons pu également neutralisé, en coopération avec l'hébergeur, le fichier du virus sur le site d'où les victimes le téléchargeaient ».

Il s'agissait d'une nouvelle victoire éclatante à l'actif des experts de Kaspersky Lab dans leur confrontation avec l'auteur de Gpcode.

Drame en trois actes

Virus.Win32.Gpcode ouvre un nouveau chapitre dans l'histoire de la cybecriminalité : cette méthode évoque les prises d'otages avec demande de rançon.
Alexandre Gostev, «Menaces informatiques actuelles, deuxième trimestre 2005».

On peut facilement imaginer ce que ressent l'utilisateur qui, par un beau matin de juin, se rend compte que les fichiers de son disque dur ne s'ouvrent pas ou, dans le cas de fichiers .txt, sont devenus totalement illisibles. Pour décrire l'ampleur du malheur, il suffit de préciser que plus de 80 extensions de fichiers sont touchées.

Le fait de pouvoir lire certains fichiers texte intitulés LisezMoi.txt est loin de représenter une consolation pour les victimes car ils contiennent une proposition univoque d'achat d'un décodeur qui pourra décrypter «certains fichiers» encodés selon la méthode RSA.

Malheureusement, certaines personnes ont vécu ce scénario en première ligne. Pendant longtemps, les spécialistes se sont interrogés sur la manière dont ce virus maître-chanteur parvenait à infecter les ordinateurs.

Le schéma de diffusion de Gpcode, du moins dans ses versions les plus récentes datant du début du mois de juin, est désormais connu.

Au début, la diffusion s'opérait via des messages non sollicités : en l'espace de quelques jours, le message suivant fut envoyé à des milliers d'adresses électroniques en Russie :

Cher !
Je me permets de vous écrire au sujet de votre CV publié sur le site job.ru Je recherche un employé et votre profil correspond parfaitement. La société ADC Marketing LTD (UK) va ouvrir un bureau à Moscou et j'ai été chargé par la direction de régler les questions d'embauche. Je suis disposé à vous rencontrer prochainement à l'heure qui vous convient.
Si ma proposition vous intéresse, je vous invite à remplir le formulaire ci-joint relatif au salaire pour le poste proposé.
Envoyez les résultats par courrier électronique à mon adresse.
Je vous remercie d'avance.
Cordialement,

Victor Pavlov, gestion RH.

Le message était accompagné d'un document Word intitulé anketa.doc (questionnaire). Ce document était en réalité le cheval de Troie Trojan-Dropper.MSWord.Tored.a. L'ouverture du fichier entraînait l'exécution d'une macro malveillante qui installait un autre cheval de Troie, Trojan-Downloader.Win32.Small.crb, dans le système et c'est ce cheval qui permettait de télécharger Gpcode sur le système depuis l'adresse [skip].msk.ru/services.txt. Puis, le programme malveillant téléchargé parcourait tous les répertoires de l'ordinateur et chiffrait à l'aide d'un algorithme particulier les fichiers de formats divers (txt, xls, rar, doc, html, pdf, etc.) ainsi que les bases de données de messagerie.

Les versions originales de ces fichiers étaient supprimées après le lancement et un fichier readme.txt était placé dans tous les répertoires contenant des documents chiffrés. Ce fichier readme contenait une adresse de courrier électronique pour contacter le malfaiteur :

“Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY”

L'auteur modifiait régulièrement la version du virus téléchargé par le cheval de Troie ainsi que l'adresse de courrier électronique : à chaque nouvelle version du virus correspondait une nouvelle adresse de contact avec le maître-chanteur. Une fois que la victime contactait l'auteur, on lui proposait de payer une somme définie pour décoder les fichiers. Le paiement du décodeur devait être réalisé via un numéro de porte-monnaie électronique de Yandex.

Ceci étant dit, tous les détails de ces «prises d'otage électroniques» ne furent pas aussi évidents à dévoiler.

Genèse

Lorsque les premiers exemples de différents fichiers chiffrés à l'aide d'un encodeur inconnu nous sont parvenus en décembre 2004, nous étions loin de penser que d'ici six mois, nous recevrions des dizaines de fichiers semblables chaque jour et que la méthode d'encodage allait parfois changé jusqu'à plus de 20 fois par semaine comme ce fut le cas en juin.
Alexandre Gostev, «Menaces informatiques actuelles, deuxième trimestre 2005»

C'est en décembre 2004 que les experts de Kaspersky Lab furent confrontés pour la première fois à Gpcode. Les fichiers des machines infectées étaient chiffrés à l'aide d'un programme inconnu. Sur la base du texte russe du fichier !_Vnimanie_!.txt (!_Attention_!) laissé par l'encodeur, de l'adresse électronique utilisée par le malfaiteur et de certains formats d'encodage propres à la Russie, les experts en avaient conclu que le programme d'encodage était russe. Toutefois, le programme en question demeurait introuvable sur les machines infectées.

A ce moment, il y avait très peu d'utilisateurs particuliers parmi les victimes. La majorité des ordinateurs touchés appartenaient à des banques, à des sociétés financières, à des agences publicitaires, à des agences immobilières et à d'autres organisations manipulant un volume important de documents. Quelques entreprises étrangères reçurent également ce «cadeau» de Russie. La présence de l'en-tête «PGPcoder» au début de chaque fichier chiffré laissait supposer l'utilisation du programme de chiffrement PGP mais le problème ne fut pas trop compliqué car l'auteur de Gpcode utilisait un algorithme de sa propre composition que les experts de Kaspersky purent déchiffrer.

Six mois plus tard, en juin 2005, une nouvelle vague d'attaques de Gpcode déferlait sur l'Internet russe. Le code utilisé était plus complexe que celui de décembre, sans toutefois représenter une difficulté extrême pour les experts de Kaspersky Lab qui avaient déjà décodé plus de 25 modifications de la première version de Gpcode. De plus, ils parvinrent à mettre la main sur plusieurs versions du programme qui chiffrait les données.

Une question cependant restait sans réponse : comment le programme malveillant infectait-il les ordinateurs ? Mais les experts avaient d'autres problèmes à résoudre.

Les fruits de la connaissance

Le chantage des utilisateurs devient chaque jour plus populaire parmi les auteurs de virus. Il s'agit d'une tendance très dangereuse qui va se renforcer au fil des mois.
Alexandre Gostev, «Menaces informatiques actuelles, deuxième trimestre 2005»

Soit la fierté du «père» de Gpcode en a pris un coup soit il était résolu à obtenir de plus gros gains de la part d'utilisateurs assujettis. Toujours est-il qu'il semblerait qu'il se soit appliqué comme un étudiant studieux pendant 6 mois pour maîtriser les méthodes de chiffrement avant de se présenter à son examen au début 2006.

Le 26 janvier 2006 au matin, les experts de Kaspersky Lab interceptèrent une nouvelle modification du Gpcode à laquelle ils ajoutèrent l'indice .ac. C'est à ce moment que Gpcode a commencé à utiliser pour la première fois un des algorithmes de chiffrement public les plus connus et les plus robustes : RSA. Fier de ses connaissances, le maître-chanteur alla même jusqu'à créer un site sur lequel il expliquait volontiers à ceux qui étaient prêts à payer pour le décodage ce qu'était l'algorithme RSA.

La tâche des experts antivirus était plus difficile que lors des épisodes précédents, mais ils parvinrent malgré tout à trouver une solution. Le maître-chanteur n'était pas à court de ressources et une nouvelle version du programme malveillant fit son apparition en avril. L'auteur de Gpcode était vraisemblablement «passé à la vitesse supérieure» : le programme utilisait l'algorithme RSA mais à la différence de la version antérieure, la clé avait maintenant une longueur de 67 bits (contre 56).

L'épidémie la plus forte et la plus dangereuse de Gpcode allait se manifester sur l'Internet russe au début du mois de juin.

Baroud d'honneur ?

Depuis le début 2006, les auteurs de ces programmes ont tenté de modifier radicalement le chiffrement des données afin de compliquer au maximum la tâche des éditeurs de logiciels antivirus… Avant, l'auteur de [Gpcode] se contentait d'utiliser des algorithmes de chiffrement de sa propre fabrication mais maintenant, il est passé à l'artillerie lourde.
Alexandre Gostev, «Menaces informatiques actuelles, deuxième trimestre 2005»

Début juin 2006, trois versions de Gpcode furent diffusées successivement et à chaque fois, la clé de chiffrement était plus longue, ce qui compliquait la tâche des experts chargés du décodage chez les éditeurs de logiciels antivirus. Ainsi, la clé de Gpcode.ae avait une longueur de 260 bits tandis que celle de Gpcode.af avait une longueur de 330 bits.

La tâche était relativement compliquée. Le décodage des différentes clés utilisées dans les modifications Gpcode.af (330 bits) nécessita l'application de technologies modernes et 10 heures de travail tendu pour les experts de Kaspersky Lab.

Les procédures de décodages furent ajoutées aux bases antivirus de Kaspersky Lab et tout le monde poussa un soupir de soulagement. Puis apparu la version Gpcode-ag avec une clé de 640 bits.

640 bits, c'est la dernière clé factorisée sur le site de RSA. Le décodage d'une clé de cette longueur nécessiterait 30 années de travail interrompu avec un processeur de 2,2 Mhz. La protection contre Virus.Win32.Gpcode.ag (comprenant l'algorithme de décodage des fichiers infectés par cette version de Gpcode) fut ajoutée aux bases antivirus de Kaspersky Lab le jour même de la découverte de Gpcode.ag.

Comment les experts de Kaspersky Lab ont-ils résolu ce problème ? Ils répondent par un sourire si vous leur posez la question… Ils arrêtent de sourire si vous leur demander ce que nous réserve l'avenir.

Responsabilisation des utilisateurs

Pour que les autorités judiciaires puissent entamer des actions sur cette affaire, ne serait-ce qu'en vertu de l'article 273 du code pénal†, il suffirait d'une seule plainte déposée par une victime à la police.
Alexandre Gostev, «Menaces informatiques actuelles, deuxième trimestre 2005 »

Il ne faut pas sous-estimer l'adversaire, même s'il a perdu cette bataille. L'adversaire est intelligent et créatif : tout le mécanisme de l'attaque est bien pensé et les méthodes d'ingénierie sociale utilisées par l'auteur de Gpcode n'y sont pas étrangères.

Le message non sollicité est envoyé à des adresses électroniques prélevées sur le site job.ru. Les personnes à la recherche d'un nouvel emploi reçoivent une proposition de prétendus représentants de grandes sociétés occidentales. Le fichier joint doit être ouvert car il contient des questions sur les attentes salariales pour le nouvel emploi. Dans ce genre de situation, il est très difficile de résister à l'exécution d'une action présentant un risque potentiel.

Une fois le fichier ouvert, les utilisateurs ne remarquent aucun changement notable. Le téléchargement de Gpcode et le chiffrement des fichiers surviennent quelque temps après la réception du message et l'introduction du premier cheval de Troie.

Dans la majorité des cas, les victimes n'ont pas fait le rapport entre le chiffrement des fichiers et le message reçu en réponse à la demande d'emploi publiée sur job.ru. C'est pour cette raison que le mécanisme d'infection des ordinateurs est demeuré un mystère pendant si longtemps.

Nous ne pouvons que regretter que tant d'efforts aient été déployés par le malfaiteur (ou les malfaiteurs) à une fin si malhonnête et non pour le bien de la communauté.

Parfois, l'obstination de l'auteur de Gpcode laisse perplexe. La copie fut identifiée à cause de 2 000 roubles. Au début, en décembre 2004, les personnes qui cédaient au chantage et envoyaient un message à l'adresse reprise dans le fichier .txt devaient payer 1 000 roubles. Sur la base des messages publiés à l'époque dans les forums, l'auteur se serait contenté de la moitié de cette somme, soit 500 roubles.

C’était précisément l’idée de l’auteur : il pensait que les victimes préféreraient payer une petite somme d'argent au lieu de contacter les éditeurs de logiciels antivirus ou les organes compétents.

Entre temps, ceux qui cédaient au chantage encourageaient l'auteur (ou les auteurs) à poursuivre leurs activités et à créer de nouvelles versions de Gpcode. Pour que les autorités judiciaires du pays puissent agir, elles devaient recevoir au moins une plainte d'une victime. Malheureusement, les utilisateurs russes ne considèrent pas encore de telles attaques comme un crime et ils ne portent pratiquement jamais plainte, c’est regrettable.

Protégez-vous!

Le plus étonnant dans l'histoire, c’est que parmi les utilisateurs qui ont demandé de l'aide pour décoder les fichiers modifiés par Gpcode, il y avait un pourcentage faible mais significatifs d'utilisateurs de Kaspersky Anti-Virus.

C'est étonnant car Kaspersky Anti-Virus bloquaient les attaques du maître-chanteur aux trois étapes: le cheval de Troie Trojan-Dropper.MSWord.Tored.a était détecté au moment de la réception du message non sollicité avec le document Word malveillant, le composant chargé du téléchargement de Gpcode sur l'ordinateur était identifié comme Trojan-Downloader.Win32.Small.crb. Et Gpcode lui-même était identifié par le logiciel antivirus. Pour cette raison, les mises à jour n'étaient pas nécessaires: les définitions qui permettaient d'identifier la majorité des modifications de Gpcode avaient été ajoutées aux bases antivirus en janvier de cette année.

Les experts ne cessent de le dire : l'utilisation de fichiers de source douteuse sans protection antivirale peut avoir de fâcheuses conséquences. C'est d'autant plus vrai si l'on tient compte du risque de voir apparaître un programme malveillant capable de détruire à tout jamais les données.

Même dans le cas de Gpcode, alors que les méthodes de déchiffrement avaient été identifiées, Kaspersky Lab dû utiliser des méthodes spéciales pour restaurer les bases de données de messagerie chiffrées qui ont nuit aux clients de messagerie incapables de reconnaître «leurs» formats. Certains utilisateurs ont perdu, dans des circonstances similaires, certaines parties de leurs données.

Kasperky Lab milite en faveur d’une meilleure compréhension de la part des utilisateurs afin que ces derniers utilisent les moyens de protection les plus récents pour la sécurité des ordinateurs et des informations. Ils doivent notamment ne pas oublier de tenir les bases antivirales à jour. Il faut compliquez la vie des auteurs de virus, pas les autres !

« L’année passée, les sociétés antivirales ne se sont pas seulement heurtées au chiffrement des données mais à d’autres moyens de pression. Pour ne citer qu’eux, les chevaux de Troie Cryzip et MayArchive s’en sont pris aux internautes des Etats-Unis et de Grande-Bretagne. Ces derniers employaient une technologie d’archivage de fichiers à mot de passe inconnu. Le déchiffrage de ce type de mot de passe n’était pas moins simple que Gpcode.

Ces exemples nous montrent que ces histoires de chantage ne concernent pas uniquement le segment russe d’Internet mais s’étendent aux auteurs de virus occidentaux – analyse Alexandre Gostev, Analyste Virus Senior. A ce niveau, il n’est pas seulement indispensable de mettre à jour rigoureusement les bases antivirales mais l’utilisateur doit faire des copies de réserve des fichiers importants. Et évidemment, en aucun cas il ne faut accepter les conditions des maîtres-chanteurs ou leur payer les sommes demandées. Les sociétés antivirales ont jusqu’à maintenant su faire face au problème et ont aidé leurs clients. »

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com