Ransomwares: "Adylkuzz": nouvelle cyberattaque en cours

Après Wannacry, découvert vendredi 12 mai, et qui aurait touché plusieurs centaines de milliers d'ordinateurs, une nouvelle cyberattaque de grande ampleur est en cours à l'échelle mondiale. Les spécialistes en sécurité informatique l'ont appelée "Adylkuzz".

Plusieurs millions d'ordinateurs infectés par Adylkuzz ?

Vous avez aimé Wannacry ? Vous allez adorer Adylkuzz. Contrairement à l'attaque informatique détectée vendredi dernier, qui se trouve être un ransomware, réclamant aux propriétaires des utilisateurs infectés une rançon pour pouvoir récupérer leurs données, l'attaque Adylkuzz est en théorie sans conséquence pour l'utilisateur.

Les ordinateurs infectés par la même faille utilisée par Wannacry ne se transforment pas en brique inutilisable, mais deviennent en revanche terriblement lents. Forcément : l'essentiel des ressources de la machine touchées par le virus est utilisé pour "miner", à savoir, résoudre des équations mathématiques complexes, qui permettent aux hackers de les transformer en une nouvelle monnaie virtuelle concurrente du Bitcoin, le Monero.

Adylkuzz aurait déjà rapporté 1 million de dollars à ses concepteurs

D'après certains experts en informatique, Adylkuzz pourrait être actif depuis le 24 avril dernier, soit bien avant que WannaCry n'apparaisse. Pour l’utilisateur, « les symptômes de l’attaque sont (notamment) un ralentissement des performances de l’ordinateur », précise Proofpoint dans une note de blog, selon laquelle l’attaque pourrait remonter au 2 mai, voire au 24 avril et est toujours en cours.
Mais comme les utilisateurs infectés ne décèlent pas de prime abord qu'ils sont touchés par le virus, et que celui-ci se répand à vitesse grand V, il pourrait bien y avoir des millions d'ordinateurs touchés de par le monde.

Il se pourrait que Adylkuzz ait déjà permis de créer pour l'équivalent de plus d'un million de dollars, en Monero. Cet argent peut être facilement récupéré ensuite par les pirates, puisque les transactions en monnaies virtuelles sont anonymes et quasiment impossibles à tracer.

REF.:

Comment empêcher un incident de ransomware

 Après un week-end noir, la crise WannaCrypt semble s'atténuer ce lundi même si une seconde vague reste possible. Au dernier pointage, la cyber-attaque aurait fait 200.000 entreprises/organisations victimes dans 150 pays au moins. Surtout, des entreprises vitales ont été touchées ayant pour conséquences des arrêtes temporaires de la production. (ici le correctif windows vistra du 14-03-17 !)

La faille a été identifiée par la NSA il y a longtemps et les outils(eternalBlue) pour l'exploiter, qui ont certainement mobilisé les meilleurs experts en sécurité du moment, ont malencontreusement été dérobés à la NSA par un collectif de hackers en mars dernier (ShadowBrokers)provenant de la fuite des documents de la NSA (Vault7)voila 2 mois seulement le 14 Avril 2017. Un peu comme si l'Institut Pasteur laissez filer plusieurs souches du virus de la variole, aujourd'hui disparu, et qu'il conserve à des fins scientifiques.
On peut accuser tous les hackeurs du monde, la responsabilité de la NSA ne doit pas être oubliée et elle est double: avoir fabriqué les matériaux du virus ET les avoirs perdus dans la nature. Il n'y a malheureusement pas de comité d'éthique pour ce qui concerne l'informatique. Avec l'arrivée de l'intelligence artificielle, peut-on tout laisser faire parce que c'est du logiciel et non de la manipulation d'embryons humains? Et finalement, cela ne montre-t-il pas que les gouvernements peuvent aussi être plus dangereux que les hackers ?


Comment empêcher un incident de ransomware et ce qu'il faut faire si votre organisation est infectée:

 Ransomware est une menace mondiale croissante pour la cybersécurité, et qui pourrait affecter toute organisation qui n'a pas de défense appropriée. Le premier semestre de 2016 a vu une augmentation presque triple dans les variantes de ransomware par rapport à l'ensemble de 2015 [1]. Bien que le ransomware contre les systèmes d'exploitation Windows ait été courant pendant quelques années, les attaques contre les systèmes Mac et Linux sont également observées.Les méthodes pour infecter les systèmes avec ransomware sont semblables à d'autres types de logiciels malveillants, tout comme les organisations peuvent prendre pour se protéger. Selon votre niveau de préparation, l'infection par le ransomware peut causer une irritation mineure ou une perturbation à grande échelle.Ce guide donne un aperçu de Ransomware, suggère quelques étapes simples pour empêcher un incident de ransomware, et conseille sur ce qu'il faut faire si votre organisation est infectée par ransomware.Qu'est ce que Ransomware?Il existe deux types de ransomware; Le premier type crypte les fichiers sur un ordinateur ou un réseau. Le second type verrouille l'écran d'un utilisateur. Les deux types exigent que les utilisateurs effectuent un paiement (la «rançon») pour pouvoir utiliser normalement l'ordinateur. Le rançon est souvent demandé dans une cryptocurrence telle que Bitcoin.Dans de nombreux cas, le montant de la rançon est assez modeste. Ceci est conçu pour rendre le rançon le moyen le plus rapide et le moins cher pour revenir à l'utilisation normale. Cependant, rien ne garantit que la clé ou le mot de passe (pour "déverrouiller" l'ordinateur) seront fournis sur paiement de la rançon.L'échelle et la nature automatisée d'une attaque de ransomware rendent rentable grâce à des économies d'échelle, plutôt que d'extorquer de grandes quantités de victimes ciblées. Dans certains cas, Ransomware est connu pour frapper la même victime plus d'une fois de suite. Les attaques Ransomware ne sont généralement pas ciblées sur des individus ou des systèmes spécifiques, de sorte que des infections peuvent survenir dans n'importe quel secteur ou organisation.Comment le ransomware infecte votre système?Les ordinateurs sont infectés par ransomware via un certain nombre de routes. Parfois, les utilisateurs sont trompés dans la gestion de programmes légitimes, qui contiennent le ransomware. Ceux-ci peuvent arriver via des pièces jointes de courrier électronique authentique ou des liens vers des sites Web apparemment authentiques (également appelés phishing). Plus récemment, nous avons vu des infections de ransomware qui reposent sur des vulnérabilités non corrigées dans les ordinateurs, et le simple visite d'un site Web malveillant peut suffire à provoquer un problème.Bien que moins commun, les transferts de données entre les ordinateurs (par exemple via des clés de mémoire USB) peuvent également provoquer la propagation du ransomware.Prévenir le ransomware en utilisant la sécurité de la bonne entrepriseRansomware est l'un des nombreux types de logiciels malveillants, et les méthodes de livraison sont communes à la plupart des autres types. Vous pouvez minimiser le risque d'être infecté par ransomware en prenant les mêmes précautions nécessaires pour éviter tout malware en général.Les atténuements suivants sont des exemples de bonnes pratiques de sécurité et un lien vers d'autres conseils de NCSC là où ils sont disponibles:

    Gestion de la vulnérabilité et correctifs - certains systèmes de ransomware obtiennent un contrôle en exploitant les vulnérabilités des logiciels dans les systèmes d'exploitation, les navigateurs Web, les plug-ins de navigateur ou les applications. Souvent, ces vulnérabilités ont été publiquement connues depuis un certain temps et les fournisseurs de logiciels auront mis en place des correctifs pour les atténuer.
 Le déploiement de ces correctifs, ou l'atténuation des vulnérabilités, constitue le moyen le plus efficace d'empêcher les systèmes de se compromettre.  
Cependant, tout en réparant les périphériques utilisés pour la navigation Web et le courrier électronique, il est important de relier les systèmes auxquels ils sont connectés, car certains systèmes de ransomware se déplacent autour des systèmes, en cryptant les fichiers au fur et à mesure.
   
 Contrôle de l'exécution du code - envisagez de protéger le code non autorisé livré aux périphériques utilisateurs finals. Une façon courante dont les attaquants obtiennent l'exécution de code sur les périphériques cibles est d'inciter les utilisateurs à exécuter des macros.  
Vous pouvez éviter que ces attaques ne réussissent dans votre organisation en empêchant toutes les macros d'être exécutées, sauf si vous les avez explicitement confiées. Il est également recommandé de s'assurer que les utilisateurs n'ont pas les privilèges d'installer des logiciels sur leurs appareils sans l'autorisation d'un administrateur. Rappelez-vous que les utilisateurs peuvent parfois légitimement avoir besoin d'exécuter le code que vous n'avez pas préautorisé; Considérez comment vous leur permettez de le faire, afin qu'ils ne soient pas tentés de le faire secrètement, de manière que vous ne pouvez pas voir ou gérer les risques. Consultez notre guide de sécurité du périphérique utilisateur final pour connaître la configuration recommandée des plates-formes que vous utilisez.
   
 Filtrer le trafic de navigation Web - nous vous recommandons d'utiliser un appareil ou un service de sécurité pour transférer votre trafic de navigation Web sortant. Filtrer les tentatives de connexions en fonction de la catégorisation ou de la réputation des sites que vos utilisateurs tentent de visiter.
     
Contrôlez l'accès aux médias amovibles - consultez nos conseils sur la gestion des supports amovibles pour éviter que Ransomware ne soit introduit dans une organisation via cette chaîne e
n prenant en compte la technologie d'entreprise avec la cyber-sécurité. 

Quel impact le ransomware a-t-il? Ransomware empêchera l'accès aux systèmes ou aux données jusqu'à ce qu'une solution soit trouvée. Si les systèmes fournissent des services essentiels, cela peut avoir de graves répercussions sur la réputation, la sécurité et la sécurité sur les organisations concernées et leurs clients. Même si la victime a une sauvegarde récente de son système, il peut encore falloir beaucoup de temps pour restaurer les opérations normales. Pendant ce temps, les organisations devront peut-être invoquer leurs processus de continuité d'activité. Il convient de noter que, si une organisation criminelle a mené une attaque réussie de ransomware, des questions devraient être posées sur la possibilité d'impacts plus indirects et durables.  

Par exemple, combien d'instances du ransomware sont encore présentes dans le système en attente d'activation? 
 Comment devraient-ils être supprimés et comment les utilisateurs devraient-ils être prévenus?
 D'autres types de logiciels malveillants ont-ils également été déployés en même temps?  
Quels sont-ils et qu'est-ce qu'ils feront?
 Et quand? 
Limiter l'impact d'une attaque de ransomware Les mesures suivantes peuvent tous aider à limiter l'impact d'une attaque de ransomware.  
Un bon contrôle d'accès est important. La compartimentation des privilèges d'utilisateur peut limiter l'étendue du cryptage uniquement aux données appartenant à l'utilisateur concerné. Réévaluez régulièrement les autorisations sur les lecteurs réseau partagés afin d'empêcher la propagation de ransomware aux lecteurs mappés et non mappés.

 Les administrateurs système avec des niveaux d'accès élevés devraient éviter d'utiliser leurs comptes d'administration pour le courrier électronique et la navigation sur le Web. Ransomware ne doit pas être viral dans votre organisation; Limiter l'accès à vos données et systèmes de fichiers à ceux qui ont un besoin d'affaires pour les utiliser. C'est une bonne pratique de toute façon et, comme bon nombre des recommandations que nous faisons ici, évite toute une série de cyber-attaques. Faites une sauvegarde de vos données. Les organisations devraient s'assurer qu'elles ont pleinement testé les solutions de sauvegarde en place. Les fichiers de sauvegarde ne doivent pas être accessibles par des machines qui risquent d'ingérer des ransomware. Il est important de se rappeler que les sauvegardes ne devraient pas être la seule protection que vous avez contre ransomware - l'adoption de bonnes pratiques de sécurité impliquera de ne pas obtenir de ransomware en premier lieu. 

 Pour de plus amples informations sur les sauvegardes, consultez notre section intitulée Sécurisation des données en vrac, qui traite de l'importance de connaître les données les plus importantes pour vous et de la sauvegarder de manière fiable. Que faire si votre organisation a été infectée par ransomware. Si vous avez besoin de En savoir plus sur le ransomware et ses effets, ou vous avez un problème de ransomware, il existe un certain nombre de sources de conseils et de conseils supplémentaires: l'Agence nationale pour la criminalité encourage tous ceux qui pensent avoir subi une fraude en ligne pour contacter Action Fraud à 
www. Actionfraud.police.uk.  
Il appartient à la victime de payer la rançon, mais la NCA encourage l'industrie et le public à ne pas payer.  

Le National Cyber ​​Security Center (NCSC) gère un projet commercial appelé Cyber ​​Incident Response, où les entreprises certifiées fournissent un soutien de crise aux organisations concernées. Le Cyber ​​Security Information Sharing Partnership (CiSP) offre aux organisations au Royaume-Uni un portail sécurisé pour discuter et partager des services d'information qui peuvent aider la communauté et élever la résilience du Royaume-Uni. 
 Nous encourageons nos membres à partager des informations techniques et des indicateurs de compromis pour que les effets des nouveaux logiciels malveillants, et en particulier du ransomware, puissent être largement réduits. Ici au NCSC, nous accueillons ceux qui souhaitent partager leurs expériences de ransomware en toute confiance.(évitant que la cie soit en vase clos)Les opérations de la NCSC fournissent des renseignements sur les menaces au gouvernement, à l'industrie et au public. Des études de cas - même anonymisées - peuvent être très utiles.




REF.:

Les sites de streaming et les virus

Un dossier concernant les risques de regarder films sur les sites de streaming illégaux.
Le but est étant de comprendre quels sont les risques, et bien entendu, de pouvoir s’en protéger efficacement.

Table des matières [masquer]

• 1 Présentation
• 2 Les dangers des sites des streaming
  • 2.1 PUP et Adwares
  • 2.2 Les arnaques d’assistance téléphonique
• 3 Arnaque Iphone 1 euro
  • 3.1 Les Web Exploit
• 4 Comment se protéger ?
• 5 Conclusion
• 6 Comment lire d'autres tutoriels de malekal.com ?
• 7 Besoin d'aide ?

Présentation

Quand on parle de sites de streaming illégaux, on ne parle pas de NetFlix et compagnie mais bien de sites qui proposent de regarder des films gratuitement.
Ces films sont illégaux, car ils ne respectent pas les droits d’auteurs (copyright) et diffuse du contenu sans payer de redevances.
Le contenu de ces films ne se trouvent sur sur le site mais est diffusé à travers des services de streaming comme : Uptostream, Openload, Exashare, YouWatch, Vodlocker, Zstream etc.
En clair le site de streaming que vous consultez, ne sert en quelque sorte que d’annuaire et de liens vers ces services de streaming.
Cette diffusion de films ne se fait pas gratuitement, le propriétaire de ces sites va chercher à monétiser aux maximum, en chargeant le plus de publicités possibles.
A ces publicités, vont s’ajouter celles du service de streaming qui n’héberge pas et ne diffuse pas le contenu gratuitement.
Certains de ces sites peuvent aussi être payants.
Les régies publicitaires traditionnelles qui diffusent sur les sites grands publics, ont des règlements qui interdisent leurs utilisations sur des sites de streaming.
En clair, tous les sites ne respectent pas les droits d’auteurs ainsi donc que les sites de cracks ou pornographiques.
Dès lors, des régies publicitaires se sont spécialisées dans ces thématiques et le contenu diffusé par ces dernières est vraiment mauvais.

Les dangers des sites des streaming

PUP et Adwares

La première source de danger sont les adwares et PUP (programmes potentiellement indésirables).
Des publicités de toutes sortes pour des mises à jour de Flash, Java, des logiciels de conversions vidéos, des lecteurs vidéos ou des codecs, servent de prétexte pour vous faire lancer le setup.
Une fois l’installeur démarré, des programmes publicitaires (adwares) et autres sont proposés à l’installation.

Il semble toutefois, que l’âge d’or des PUPs sur les sites de streaming soit terminée.
Les publicités poussant ces programmes parasites étant de moins en moins présentes contrairement aux années précédentes.
Quelques exemples de ces plateformes de diffusions de PUPs/Adwares :

• InstallCore : PUPs et Adwares
• PUP.Optional.Tuguu / Adware.Win32.DomaIQ / PUP.OutBrowse

Les arnaques d’assistance téléphonique

Les arnaques de support téléphoniques sont devenus très courantes sur ces sites.
Il s’agit de popups de publicités qui redirigent vers de faux messages indiquant que votre ordinateur est infecté.
Un numéro de téléphone pour appeler une hotline/assistance téléphonique est donné.
Cette assistance n’aura qu’un but, vous convaincre que Windows est infecté pour vous faire acheter des logiciels, parfois peu fiables, à des prix bien au dessus de ce qui se pratiquent normalement.
Parfois, il s’agit même de logiciel d’antivirus connu, sur ce sujet Arnaque support téléphone 09.77.55.56.81 (Eureka24), les internautes se font vendre AVG pour 200 euros !
Il s’agit donc de vente forcée.

En vidéo :

Nos dossiers sur ces arnaques :

• Arnaque support téléphonique – PC Support
• Arnaques aux désinfections / support par téléphone

Arnaque Iphone 1 euro

D’autres arnaques existent et sont aussi diffusés sur les sites de streaming.
Notamment les arnaques Iphone 1 euro.
Il s’agit de publicités sous la forme de jeu concours ou de sondage qui se font passer pour des entités connus (votre fournisseur d’accès, Google, Amazon etc).

Ces pages de concours vous font arriver sur un formulaire d’inscription où vos informations bancaires sont demandés.
En réalité, vous vous inscrivez à un abonnement pour des boutiques et compagnie.
Vous êtes en général prélevez d’1 euro pour de 45 à 90 euros par mois.

Plus d’informations, sur ce type d’escroqueries, lire notre dossier : Arnaque : Gagner Iphone à 1 euro

Les Web Exploit

Enfin, les publicités sur les sites de streaming peuvent conduire à des malvertising (publicité malicieuse) qui cherchent  à rediriger vers des Web Exploit.
Le but est de tirer profit de logiciels vulnérables sur l’ordinateur et notamment en plugins sur le navigateur WEB, pour charger et exécuter de manière automatique un Trojan sur l’ordinateur.
Cela peut conduire à des Trojans Banker ou Ransomware.
Ici donc, ce sont de réelles menaces, qui peuvent causer des dommages.
Par exemple, une malvertising sur Uptobox pouvait diffuser le ransomware Cerber : Ransomware Cerber via malvertising sur Uptobox

Comment se protéger ?

L’utilisation de filtreur de publicités est primordiale sur ce type de site.
En clair, sur ce type de sites, les bloqueurs de publicités deviennent des outils de sécurité et de protection.
Vous trouverez une liste sur la page : les bloqueurs de publicités
Personnellement, je suis assez fan d’uBlock : uBlock : filtrage/blocage de publicités et contenu
La seconde protection consiste à bien maintenir à jour les plugins du navigateur WEB, notamment Adobe Flash.
Désactiver Java peut s’avérer utile aussi.
Plus d’informations : Comment sécuriser mon Windows

Conclusion

En clair donc, les sites de streaming de part leur nature illégale attirent des régies publicitaires peux scrupuleuses qui font la promotion de toutes sortes d’arnaques et danger.
On retrouve ces mêmes régies publicitaires sur certains sites pornographiques, de cracks ou de P2P.
Piratebay a été, par exemple, souvent l’objet de diffusion de malvertising : Piratebay touché par une malvertising
Il reste aussi le cas des pirates des sites pour rediriger vers du contenu malicieux, les sites d’hébergement de fichiers peuvent en être l’objet.
C’est aussi notamment arrivé quelques fois à Uptobox

• Uptobox hacked
• Uptobox hacked ? => spambot

Les cracks souffrent de la même problématique et sont très utilisées pour diffuser des virus/logiciels malveillant : Le danger des cracks et keygen !
Enfin, sachez que les mobiles (téléphone/tablettes) ne sont pas oubliées, en ce qui concerne la diffusion d’arnaque sur les sites de streaming, à lire : Fausses pages web et messages de virus téléphones/tablettes

Source.:

Victime d'un ransomware ? Ce site peut sauver votre PC !

 

Créé en partenariat avec Europol, nomoreransom.org permet à une victime d’identifier le type de rançongiciel qui a chiffré ses données et, le cas échéant, d’être orienté vers un outil de déchiffrement.

Selon Europol, l'office européen de police, les ransomware représentent actuellement la principale cyber-menace pour les internautes de notre continent. Mais elle est complexe et protéiforme. Le particulier qui se retrouve piégé peut vite se retrouver débordé par la situation. C'est pourquoi l'organisme européen s'est récemment associé aux éditeurs Kaspersky et Intel Security pour créer un site qui regroupe tout un tas d'outils permettant de déchiffrer vos précieuses données. Et visiblement, ça marche. En l'espace des trois derniers mois, plus de 2.500 personnes ont réussi, grâce à ce site, à libérer leurs disques durs de l'emprise des méchants rançongiciels.

Suivez le « Crypto Sheriff »

Si vous êtes victime d'un tel malware, rendez-vous sur la page « Crypto Sheriff » de ce site. Celle-ci vous permet d’envoyer deux exemplaires de fichiers chiffrés ainsi que le message que les cybercriminels ont laissé sur votre ordinateur.

Une fois envoyées, ces informations permettront au site d’identifier le type de malware et de vous orienter vers l’outil approprié, par exemple Rakhnidecryptor.exe de Kaspersky Labs. Des documents sont par ailleurs disponibles pour vous guider pas à pas dans la procédure de déchiffrement. Auparavant, il faut s’assurer que le malware a bien été supprimé de l’ordinateur par le logiciel antivirus, car sinon il risque de chiffrer vos données à nouveau.

Malheureusement, il n’existe pas d’outils pour tous les ransomware qui sévissent actuellement sur la Toile. Dans ce cas,  si les données ne sont pas de première importance, cela peut valoir le coup d’attendre un peu. Les chercheurs en sécurité travaillent sans relâche pour tordre le cou à ce fléau et régulièrement ils y arrivent. Le paiement de la rançon est fortement déconseillé et ne doit être prise en considération qu’en dernier ressort. En tous les cas, n’oubliez pas de signaler votre cas auprès des forces de l’ordre, ce que vous pourrez faire directement le site.

Quatorze pays sont actuellement partenaires de l’initiative NoMoreRansom.org, dont la France. Une version multilingue du site devrait d’ailleurs bientôt être disponible.  

Source.:

Comment récupérer le ransomware TeslaCrypt des fichiers vvv ?

how_recover : TeslaCrypt extension .vvv

Les campagnes du ransomware TeslaCrypt continuent de faire des ravages.
TeslaCrypt est un ransomware qui existe depuis quelques mois. Différents noms utilisées au début (AlphaCrypt etc), les premières versions, comme souvent étaient buggués et un décrypteur était disponible, bien entendu, les versions futurs du ransomware ont corrigé ce bug et le décrypteur ne fonctionne plus.

• Une étude de TeslaCrypt de Cisco (Avril 2015)
• AlphaCrypt et decrypteur

Comme c’est le cas des ransomwares professionels actuellement, il n’y a malheureusement pas de moyen de récupérer les documents chiffrés.
Notre dossier sur les ransomwares : ransomwares chiffreurs de fichiers.

TeslaCrypt : une campagne virulente

Depuis environ début Décembre une campagne d’envergure a lieu et touche beaucoup d’internautes.
Aujourd’hui encore, sur le forum CommentCamarche, beaucoup de sujets relatif à ce ransomware TeslaCrypt ou des internautes se plaignent que l’extension de leurs documents ont été modifié en .vvv  :

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.malekal.com/wp-content/uploads/ransomware_teslacrypt_extension_vvv.png
Le 3 Décembre sur le forum, des sujets similaires :

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.malekal.com/fichiers/forum/Trojan_JS_email_malicieux_8.png

La campagne avait surtout lieu par mail avec au départ des zips contenant un JS/Downloader qui télécharge et exécute le dropper TeslaCrypt :

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.malekal.com/fichiers/forum/TeslaCrypt_Campagne_mail_JS.png
et parfois quelques emails avec des Word malicieux, qui avec une macro malicieuse, télécharge aussi le ransomware sur l’ordinateur.

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://forum.malekal.com/download/file.php?id=11211&t=1
Contrairement aux campagnes de mails malicieux Dridex qui ont lieu en langue française et qui reprennent des mails de sociétés existantes, tous les mails de la campagne TeslaCrypt sont en anglais.
En 2015 donc, des mails malicieux en anglais, fonctionnent encore.
Une remarque, Avast! semble en détecter pas mal, Microsoft Security Essentials est à la rue, comme c’est souvent le cas : http://forum.malekal.com/teslacrypt-ransomware-fichiers-extensions-ccc-vvv-t53347.html#p410436
Eset a publié une note concernant ces campagnes de Mails malicieuse JavaScript, l’Espagne et l’Italie sont très fortement touché en Europe.
Dans le monde, c’est le Japon est qui largement devant.
La campagne a pu représenter plus de 10% des détections au pic de celle-ci.

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://forum.malekal.com/download/file.php?id=11216&t=1

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://forum.malekal.com/download/file.php?id=11217&mode=view
Il semblerait qu’il y est un ralentissement de ces campagnes de mails malicieux.
Cependant les demandes de désinfections ne fléchissant pas, on peut se demander si une autre campagne avec un autre vecteur n’a pas lieu, notamment par des WEB Exploits.
D’ailleurs sur certains sujets, on trouve du Win32.Boaxxe.

HKU\S-1-5-21-4258560583-3047925665-718717340-1001\...\Run: [Ilpksoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Asus\AppData\Local\Ucmnmedia\clrdp09.dll

D’ailleurs Malwarebytes Anti-Malware précise dans une actualité que le très renommé ExploitKit Angler EK charge du TeslaCrypt : https://blog.malwarebytes.org/exploits-2/2015/12/angler-ek-drops-ransomware-newexploit/
Le gros problème avec les ransomwares est le même que pour les « stealer ».
Pas besoin de rester des heures ou des jours sur l’ordinateur pour être efficaces, comme c’est le cas des botnets ou Spambot.
Pour le ransomware, il suffit de rester 5 minutes sur l’ordinateur pour chiffrer tous les documents et le mal est fait.
Dès lors, laps de temps entre le moment où le dropper n’est pas détecté et l’antivirus le détecte permet de toucher beaucoup d’ordinateurs.
Bref ces campagnes risquent de perdurer encore quelques semaines.

TeslaCrypt : les symptômes

L’extension des documents chiffrés est modifée en .vvv
Au départ, c’était .ccc – dans le fil du temps, l’extension changera.
Un fichier how_recover+xxx contenant les instructions de paiements est ensuite créé dans divers format : images, HTML et texte.
Au départ le nom des fichiers d’instructions étaient howto_recover_file_xxxx.txt
Le fichier des instructions peut éventuellement changer encore dans le temps.
En outre le malware peut scanner les lecteurs réseaux et/ou partager pour toucher d’autres ordinateurs.
La version HTML est très ressemblante aux instructions de Cryptowall 3.0

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.supprimer-trojan.com/wp-content/uploads/TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES.png

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.supprimer-trojan.com/wp-content/uploads/TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES_3.png

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.malekal.com/fichiers/forum/TeslaCrypt_HOW_TO_RESTORE_FILES_demarrage.png

TeslaCrypt : Désinfection

Vous devez désinfecter l’ordinateur pour vous assurer que le ransomware n’est plus actif, sinon tout nouveau document créés, copié etc sur l’ordinateur sera chiffré à son tour.
Il convient ensuite de supprimer tous les fichiers contenant les instructions, le plus simple est d’effectuer une recherche Windows.
Vous pouvez suivre les procédures de désinfections gratuites de ces deux sites :

• Ransomware extension .vvv (supprimer-virus.com)
• Supprimer Ransomware documents extension .vvv (supprimer-trojan.com)

TeslaCrypt : Décrypter/Récupérer ses fichiers .vvv

Projet TeslaCrack : https://github.com/Googulator/TeslaCrack
Il y a de bon retours sur ce projet où certains utilisateurs ont réussi à récupérer des fichiers .vvv
Discussion : [TEST] récupération fichiers .vvv (ransomware teslacrypt)
Télécharger et installer :

• Python 2.6 : https://www.python.org/ftp/python/2.6/python-2.6.msi
• PyCrypto (selon si architecture 32/64 bits) : http://www.voidspace.org.uk/python/modu … l#pycrypto
• Télécharger TeslaCrack : https://github.com/Googulator/TeslaCrack/archive/master.zip
• Télécharger Yafu : http://sourceforge.net/projects/yafu/files/latest/download

Dézipper TeslaCrack sur votre Bureau.
De même pour Yafu.
Dans le dossier TeslaCrack-master, copiez-y un fichier PDF.vvv de votre choix.
Ouvrez une invite de commandes puis :

cd %userprofile%\Desktop\TeslaCrack-master
c:\python26\python teslacrack.py

Vous obtenez deux clefs, nous allons cracker la première, soit donc dans mon cas 3B64C3CC2490EAEECB7EF4EE7CB3121B5009111C1C8441EBA09EF47AB22067D7F548C5285A67609A44645C3620CC850AC64CBA66D70B572F75135545FBE6B098
Notez la seconde clef aussi.

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last.png
Lancez yafu-Win32.exe ou yafu-64bits.exe si vous êtes en 64bits
Saisir la commande factor(0x), soit donc mon cas :

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last_2.png

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last_2.png
Notez tous les factors retournés pour lancer la commande suivante en invite de commandes avec ne paramètre les P1, P2 P4, soit donc :

c:\python26\pythonunfactor.py FF.pdf.vvv 2 2 2 7 67 71 2003 26386049 226672639 16325076917178637 1453184024951089659063449 6460937283741885476341 6359318652181287449000922742134296455215475834544182026033571019197

Une possible clef AES est alors retournée

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last_3.png
Editez le fichier teslacrack.py et la partie known_keys pour ajouter les clefs avec la syntaxe suivante :

'3B64C3CC2490EAEECB7EF4EE7CB3121B5009111C1C8441EBA09EF47AB22067D7F548C5285A67609A44645C3620CC850AC64CBA66D70B572F75135545FBE6B098': b'\x59\x3b\xd2\x54\xba\x07\x06\x0d\x83\xf2\xdc\x9b\xfe\x05\x3e\x90\xe4\xce\x8d\xd2\x40\x9a\x02\xa9\x29\x5e\x4a\xd7\xea\x60\xaf\x54',

image: http://www.malekal.com/wp-content/plugins/ncode-image-resizer/images/uyari.gif

Click this bar to view the full image.

image: http://www.malekal.com/wp-content/uploads/TeslaCrack_last_4.png
Enregistrez les modifications puis lancez la commande :

c:\python26\python teslacrack.py

Si vous avez un access denied, c’est pas bon, tentez alors de cracker la seconde clef.
Sinon c’est good !

Read more at http://www.malekal.com/how_recover-teslacrypt-extension-vvv/#lpUgwwd33YZmOYGI.99

 

Source.:

Un ransomware Android, par SMS !

Koler, un ransomware Android extorque 200 euros à ses victimes.
Les ransomwares sont des malwares qui bloquent votre appareil et vous demandent une rançon pour continuer à utiliser votre machine. Longtemps « réservés » aux PC, ils sont de plus en plus présents sur Android.
Le nom de Reveton (ou IcePol) continue de faire frémir les utilisateurs PC. Ce fameux ransomware bloque depuis des années les ordinateurs d’internautes insuffisamment protégés et affiche un message provenant prétendument des services de police (d‘où son nom IcePol). Ce dernier vous demande de payer une amende pour avoir « consulté de la pornographie illégale (pédopornographie, zoophilie, etc.) » ou encore« avoir téléchargé des programmes illégalement ».
Il y a quelques jours, les analystes des Laboratoires antivirus Bitdefender ont découvert une version de Reveton sur Android. Baptisé Koler, le procédé est le même que sur ordinateur, et demande le paiement d’une rançon d’un montant de200€ (300$) afin de vous rendre la main sur votre appareil.
article complet -->
http://blog.malwarebytes.org/mobile-2/2 ... n-android/

Re: Koler, un ransomware Android !!

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

• 
  

Re: Koler, un ransomware Android !!

par Malekal_morte » 22 Oct 2014 10:17

Source : http://www.adaptivemobile.com/blog/kole ... ts-worm-on

Koler est maintenant capable de se propager par SMS depuis les portable infecté.

Exemple de message : someone made a profile named -Luca Pelliciari- and he uploaded some of your photos! is that you? http://bit.ly/xxxxxx

Cela retourne un fichier APK, si l'utilisateur l'execute et installe, le malware s'installe et blocage l'appareil mobile.
Ensuite des SMS sont envoyés aux contacts.

La page de Blocage sur Android en version US :

Koler par SMS

Répartition de la campagne, pour le moment, la France n'est pas touché mais il est certains que ça viendra.
Retenez ceci : ne jamais ouvrir de fichier APK qu'on vous envoie.

Koler SMS

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Source.:

Microsoft prédit 8 menaces majeures en 2014 dont Windows XP

Sécurité : L'année 2014 sera - comme chaque année - pleine de menaces et d'espoirs pour la sécurité informatique. Microsoft fait un tour des prédictions parfois convenu.

Microsoft a publié un billet de blog collectif pour détailler les différents points qui, à son avis, méritent attention au niveau de la sécurité des systèmes informatiques pour l'année 2014. Il s'agit de "ce que [Microsoft] anticipe" dans le paysage des menaces, notamment sur les réseaux.

Un exercice à la fois compliqué - on peut se tromper - et sans grand risque - personne n'ira vérifier dans un an et la marge d'erreur reste relativement faible. Mais voici ce qui marquera l'année prochaine selon l'éditeur :

• Les efforts de régulation vont appeler plus d'harmonisation - Les Etats-Unis comme l'Union européenne vont publier les grandes trajectoires de leur politique en matière de sécurité informatique. D'après Paul Nicholas, directeur en charge de la stratégie de sécurité de Microsoft au niveau global, il est nécessaire de faire en sorte que cela ne débouche pas sur des centaines d'approches différentes dans le monde. Il pense donc que les législateurs, les éditeurs et les distributeurs vont "commencer à voir le besoin impératif d'harmonisation".
• Les interruptions massives de services en ligne vont se poursuivre - Vous vous souvenez des interruptions de services globaux au cours de l'année 2013 ? Ne vous attendez pas à ce que le problème soit réglé pour l'année prochaine. Pour le responsable de la stratégie de fiabilité, David Bills, "cette tendance va se poursuivre". L'adoption de bonnes pratiques devrait aider à les réduire, mais cela ne suffira pas à les éradiquer.
• La coupe du monde de football va apporter sa dose d'actes criminels en ligne - "Les criminels suivent l'argent et en 2014, l'économie du Brésil devrait prendre un coup de chaud." Pas besoin d'en dire beaucoup plus, comme à chaque événement sportif majeur, les "cybercriminels" trouvent des moyens de gagner de l'argent. Les attaques de phishing et de spam devraient pleuvoir, des malwares devraient se faufiler autant que possible, etc. Et les "argumentaires" des pièges envoyés par les réseaux devraient largement tirer partie de la coupe du monde de football.
• La montée des clouds régionaux - Chacun son cloud ? "Dans le sillage des questionnements autour de l'accès non autorisé aux données, nous allons voir l'émergence et la promotion plus large d'offres de clouds régionaux. Une opportunité de marché qui se basera sur les startups et sur les fournisseurs existants.
• L'intégration d'une sécurité "dev-ops" de plus en plus critique - Flame a montré que les différences de perception entre une équipe de développeurs et une équipe opérationnelle avait des chances de laisser des failles d'autant plus grosses. Une sécurité mieux alignée sur les besoins de l'entreprise devra s'atteler - et elle le fera, prédit Microsoft - à trouver et combler ces trous. L'éditeur estime que le travail a commencé il y a longtemps, et qu'on approchera du but en 2014.
• Les logiciels ne bénéficiant plus de support serviront de vecteur aux attaques - Vous avez encore Windows XP , ou cracké ? Bouuuuh. A cause de vous, les méchants pirates auront un boulevard pour leurs activités. Microsoft ne prendra plus en charge Windows XP à partir d'avril 2014. Aussi les systèmes n'auront-ils plus de mises à jour... notamment de sécurité. Un "problème" pour lequel Microsoft à évidemment la solution : migrez vers "un OS moderne". Red Hat Enterprise Linx ? Ah non, Windows 7 ou Windows 8. Seul problème, les machines tournant sous XP sont encore très nombreuses, plus de 30% du parc selon les derniers chiffres... Malgré les années, Windows XP fait de la résistance, notamment en entreprise où il est souvent encore le standard. Sauf surprise, beaucoup d'entre elles seront à découvert au printemps prochain, les projets de migration étant loin d'être une priorité.
  
  
  
• Les beaux jours du social engineering - C'est connu : "l'ingénierie sociale" est souvent l'un des filets les plus efficaces d'attaquants pour repérer des failles. Le compte Twitter d'Obama, certains des "hacks" les plus célèbres... ont été réalisés avec un peu d'imagination et les faiblesses humaines. Bref, Microsoft fait la pub de ses récentes améliorations en matière de double authentification.
• Les ransomwares vont toucher plus de gens - Ces "rançongiciels" vont monter en puissance. Traditionnellement plus faibles, ils devraient servir de base au modèle économique de plus de criminels, selon l'éditeur. Une "prédiction" basée sur des chiffres de Microsoft, et qui pourrait causer des dégâts si l'on n'est pas préparer. Pour Microsoft, préparation signifie des outils anti-virus à jour, et une sauvegarde dans le cloud. Le cloud Microsoft, s'entend.

REF.: