Les opérateurs ProLock Ransomware envoient des décrypteurs défectueux aux victimes qui paient la rançon

Comme la plupart d'entre vous le savent probablement, tous les ransomwares ne sont pas créés égaux. Certaines familles sont créées par de jeunes hackers inexpérimentés qui empruntent la majeure partie de leur code à des référentiels ouverts. Souvent, ils font des erreurs lors de la mise en œuvre des composants individuels et se retrouvent avec des échantillons de ransomwares qui ne constituent pas une menace si importante. En revanche, d'autres familles de logiciels malveillants de cryptage de fichiers sont conçues et construites par des équipes sophistiquées de pirates informatiques disposant d'une quantité presque illimitée de ressources.

ProLock est un nom relativement nouveau sur la scène des ransomwares. Cela fait la une des journaux depuis quelques mois, et il sera intéressant de voir si c'est l'une des menaces les plus sophistiquées ou si elle a été mise en place par un groupe d'amateurs.

ProLock - une menace sérieuse pour les organisations de toutes formes et tailles

Des chercheurs de Sophos ont récemment décidé d'examiner de plus près ProLock après qu'un de leurs clients en ait été touché. Il est immédiatement devenu évident que ce n'est pas le travail des soi-disant enfants de script.

Dans le cas de l'attaque étudiée par Sophos, le point d'entrée initial était un serveur RDP mal configuré que les pirates ont exploité. Après avoir compromis la victime, ils ont rassemblé des informations supplémentaires sur le réseau dans lequel ils se trouvaient, et ils ont ensuite utilisé une liste d'informations d'identification volées pour le parcourir. L'opération réelle du ransomware commence par le placement de quatre fichiers dans le dossier% ProgramData% de l'hôte.

Il y a une image BMP, un fichier XML et quelques fichiers batch. Le premier fichier de commandes configure une tâche planifiée à l'aide des paramètres définis dans le document XML. La tâche planifiée exécute le deuxième fichier de commandes, qui, à son tour, extrait la charge utile du ransomware qui est codée dans l'image BMP à l'aide de la stéganographie.

Avant de crypter les données, ProLock met fin à certains processus afin de garantir que moins de fichiers sont ouverts pendant la phase de cryptage. Quand il a fini de brouiller les informations, ProLock envoie une note de rançon avec un identifiant d'utilisateur et un lien vers un site Web hébergé par Tor où les victimes peuvent obtenir plus d'informations sur les demandes des pirates.

Jusqu'à présent, tout semble très professionnel et avancé. Cependant, lorsque les chercheurs ont examiné quelques échantillons, ils ont constaté que, bien que certaines parties du code soient adaptées aux victimes individuelles, les identifiants d'utilisateurs étaient codés en dur et n'étaient pas uniques. C'était étrange. Ce qui était plus étrange, cependant, était la façon dont ProLock crypte les fichiers.

Les décrypteurs de ProLock ne fonctionnent pas

ProLock ne crypte pas les fichiers dont la taille est inférieure à 8 Ko. Pour ceux qui sont plus gros, il démarre le processus de cryptage avec le neuvième kilo-octet. En conséquence, si vous ouvrez un fichier que le ransomware a déjà crypté, vous verrez que les premières parties de celui-ci restent sous une forme lisible.

Les chercheurs de Sophos pensent que c'est la raison pour laquelle les décrypteurs de ProLock ne fonctionnent pas. Il y a eu des rapports de programmes de décryptage défectueux fournis par les opérateurs ProLock depuis un certain temps maintenant, mais c'est la première fois que nous voyons une explication technique du problème. Le rapport de Sophos suggère que les spécialistes de la sécurité pourraient simplement être en mesure de récupérer les données après avoir modifié le décrypteur défectueux, mais ils soulignent que ce ne sera pas bon marché.

C'est une autre preuve de la raison pour laquelle vous ne devriez jamais faire affaire avec des cybercriminels. Mais maintenant que nous savons tous où se situe le problème, quelle est la probabilité que les opérateurs ProLock le résolvent?

Le gang ProLock va-t-il réparer ses décrypteurs?

Désormais, les victimes potentielles qui pourraient être gênées de faire une simple recherche sur Google sauront que même si elles paient la rançon, elles risquent de ne pas récupérer leurs données. Ils seront moins susceptibles de coopérer, et vous pourriez penser que cela pourrait amener les opérateurs de ransomware à mettre à jour leur mécanisme de cryptage et à résoudre le problème. Le fait est que le fait que le décrypteur fonctionne ou non ne leur fera guère de différence.

Étant donné que les entreprises conservent désormais des sauvegardes de leurs données, payer la rançon n'est plus le seul moyen de les récupérer en cas d'attaque de ransomware. L'année dernière, des gangs de cybercriminels ciblant des organisations ont réalisé qu'ils avaient besoin d'un deuxième point d'extorsion, et ils ont commencé à voler des informations avant de les chiffrer. De cette façon, lorsqu'une victime refuse de payer pour un décrypteur, les escrocs peuvent menacer de divulguer des tonnes de données sensibles. De nombreuses équipes de ransomware l'ont fait, et nous commençons maintenant à voir que cela fonctionne.

Le rapport de Sophos indique que le gang ProLock n'a pas encore adopté la stratégie, mais il a souligné qu'il pouvait le faire à tout moment. Les organisations qui pourraient être ciblées par ce ransomware particulier doivent être conscientes de la menace et doivent prendre les précautions nécessaires pour renforcer leurs réseaux.