Bad Rabbit - the not so cute ransomware

Bad Rabbit – un ransomware pas si mignon que ça

Les labos d’Avira ont reconnu une attaque provenant d’une nouvelle variante de rançongiciel, nommée Bad Rabbit. C’est un chiffreur typique de fichiers qui rendra tous vos fichiers personnels illisibles et vous obligera à payer une rançon pour les récupérer. Il écrase le fichier MBR pour présenter ce message à la victime dès le démarrage de son ordinateur.

Bad Rabbit - the not so cute ransomware - in-post

Cette menace se diffuse sur l’ordinateur de la victime comme téléchargement intempestif. Nous avons identifié que la charge utile était téléchargée à partir de h(tt)p://1dnscontrol(.)com/flash_install.php. Il semblerait que pour cette attaque, les pirates n’aient pas opté pour une attaque d’hameçonnage classique (qui consiste généralement à joindre la charge utile), mais aient probablement utilisé une bannière publicitaire malveillante ou un site Internet piraté.

Ils n’ont pas utilisé l’hameçonnage pour diffuser cette infection, mais se sont servis d’une technique de piratage psychologique très connue pour s’infiltrer sur l’ordinateur des victimes. Pour fonctionner, le fichier déposé doit être exécuté par l’utilisateur disposant des droits d’administrateur. Par conséquent, les pirates ont probablement décidé que le dissimuler dans un programme d’installation de Flash Player était le meilleur moyen. Ces derniers temps, nous avons souvent détecté un type de publicités intempestives qui oblige l’utilisateur à installer premièrement Flash Player avant de pouvoir afficher la bannière. Chaque jour, de nombreuses personnes cliquent sur des icônes de Flash Player frauduleuses pensant qu’il s’agit d’une nouvelle mise à jour :

 
Si le Flash Player frauduleux et malveillant est exécuté, il dépose alors le fichier DLL malveillant comme C:\Windows\infpub.dat. Il se lance alors à l’aide de rundll32 et dépose un programme dispci.exe (le décodeur de fichier) et un fichier (utilitaire) cscc.dat dans le dossier Windows (C:\Windows). En parallèle, il essaie également de diffuser ces fichiers sur des ordinateurs liés via le réseau, en utilisant la force brute pour les partages administratifs (\\computername\admin$) à l’aide d’identifiants codés en dur (p. ex., sex, qwe123, qwe321, …)

Pour les fichiers déposés dans le dossier Windows, trois tâches sont créées.

On notera ici le nom que les cybercriminels ont donné aux tâches. En effet, « Drogon », « Rhaegal » et « Viserion » sont des dragons dans la très célèbre série Game of Thrones. Mais ça ne s’arrête pas là. Ils ont également utilisé le nom d’un autre personnage « GrayWorm » pour le nom de produit du fichier exe. Ce n’est pas la première fois que des pirates mêlent des icônes de la culture populaire à des logiciels malveillants, comme nous l’avons vu avec Mr. Robot, James Bond, Pokemon et d’autres encore.

Ce rançongiciel se sert également de techniques spéciales pour éviter de laisser des traces après l’infection des machines. L’une des méthodes est de supprimer le journal usn.

« Fsutil.exe usn deletejournal /D c: » fournit la solution pour supprimer le cache du journal. Le cache détecte, entre autres choses, les changements apportés aux fichiers après un chiffrement. De cette manière, seuls les cybercriminels (ou quiconque) peuvent conserver ces informations.

Le décodeur de fichier dévoile le genre d’utilisateurs que les cybercriminels ont l’intention de cibler, lorsque l’on regarde la liste des types de fichiers.

Il recherche tout particulièrement les types de fichiers des machines virtuelles (comme vhdx, vmdk, vbox,…). Cela signifie que les cybercriminels ciblent également le monde de l’entreprise, et pas seulement les particuliers.

Le décodeur de fichier nous donne également une idée de ce qu’il se passe sur l’ordinateur des victimes si elles paient la rançon.

L’utilisateur doit alors désactiver son antivirus ou programme anti logiciel malveillant et doit cliquer sur decryption.lnk sur son bureau. Une fois les fichiers déchiffrés, le chiffreur de fichier et la tâche créée seront supprimés du système. Quoi qu’il en soit, nous vous recommandons de ne jamais suivre ces instructions des cybercriminels.

Le fichier cscc.dat camouflé est à l’origine un fichier sys, faisant partie de la solution de chiffrement ouverte nommée « DiskCryptor », utilisée par le rançongiciel.

Cette méthode de chiffrement ne modifie pas les extensions de fichiers comme d’autres solutions telles que Locky. L’extension reste la même, mais une chaîne est ajoutée à la fin du fichier où l’on peut lire le mot « encrypted » (chiffré).

Cette fois-ci, il semblerait que les pirates aient passé plus de temps à créer la page onion. Elle comporte même une animation d’un déchiffrement en cours.

Mais pas de panique, Avira vous protège déjà de ce rançongiciel.

Cet article est également disponible en: AnglaisAllemandItalien