Ransomware : la France donne l'alerte pour un preneur d'otage

Le par  |  21 commentaire(s) Source : CERT-FR
Chiffrement

La menace CTB-Locker est véhiculée dans une campagne de phishing ciblant la France. Ce ransomware - ou rançongiciel - prend en otage des fichiers en les chiffrant.

Pour la France, le CERT-FR (centre gouvernemental de veille, d'alerte et de réponses aux attaques informatique) émet un bulletin d'alerte au sujet d'une campagne de phishing de type rançongiciel. Depuis le début de ce mois de février, le CERT-FR dit avoir constaté une nouvelle vague importante de compromissions par le malware CTB-Locker.

Ce ransomware est véhiculé en pièce jointe de messages évoquant un fax. Bitdefender a également repéré un email rédigé dans un français correct et principalement envoyé à des services administratifs d'entreprises. Il évoque la confirmation d'une commande :

CTB-Locker-entreprise-france
La pièce jointe malveillante est une archive .cab (un fichier auto-exécutable), .zip ou un fichier exécutable à l'extension .scr (fichier d'écran de veille). Une fois l'archive ouverte, un document RTF (traitement de texte) est affiché. Il ouvre la voie à la charge utile de CTB-Locker qui va se lancer dans le chiffrement de fichiers sur la machine Windows infectée.

Cette prise en otage est signalée par une boîte de dialogue où la victime est invitée à payer dans les 96 heures ou 72 heures (plusieurs variantes) afin d'obtenir une clé pour le déchiffrement. Il peut par exemple s'agir d'un paiement de trois bitcoins, soit l'équivalent de 600 € actuellement, ou huit bitcoins (1 500 €). Un paiement peut aussi être demandé par PayPal voire carte bancaire, ce qui expose en plus à du vol de données sensibles.

CTB-Locker
Exemple d'une boîte de dialogue CTB-Locker ; crédit : CERT de la Société Générale

Après paiement, " le recouvrement des données n'est en aucun cas garanti ", écrit le CERT-FR. Bitdefender ajoute que CTB-Locker s'appuie sur un chiffrement par clés asymétriques et le réseau Tor. Celui-ci sert à cacher les serveurs de commande et contrôle. De quoi compliquer la recherche des cybercriminels derrière de telles attaques.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1831969
Bien content d'être sous Gnu Linux pour le quotidien perso ...
Le #1831970
FRANCKYIV a écrit :

Bien content d'être sous Gnu Linux pour le quotidien perso ...


J'ai une question, pourquoi toujours précisé la licence et dire "gnu linux" et pas juste "linux"?.
Le #1831972
chibre a écrit :

FRANCKYIV a écrit :

Bien content d'être sous Gnu Linux pour le quotidien perso ...


J'ai une question, pourquoi toujours précisé la licence et dire "gnu linux" et pas juste "linux"?.


Tout simplement car j'utilise en très grosse majorité des logiciels libres
Le #1831973
chibre a écrit :

FRANCKYIV a écrit :

Bien content d'être sous Gnu Linux pour le quotidien perso ...


J'ai une question, pourquoi toujours précisé la licence et dire "gnu linux" et pas juste "linux"?.


parce que linux, c est juste un noyau, les couches superieures sont d origine GNU comme le compilateur par exemple.

la GNU a pendant longtemps essaye de developer un noyau jusqu a l arrivee de linus torvald et de son noyau, qui a rempli cette fonction au sein des distributions.

et gnu n est pas la license mais un acronyme recursif ( gnu is not unix). linux et l environnement est sous license GPL.
Le #1831975
Champagne ... le pingouin m'a mis un +1 !!!
Le #1831981
lepingouinenfolie a écrit :

chibre a écrit :

FRANCKYIV a écrit :

Bien content d'être sous Gnu Linux pour le quotidien perso ...


J'ai une question, pourquoi toujours précisé la licence et dire "gnu linux" et pas juste "linux"?.


parce que linux, c est juste un noyau, les couches superieures sont d origine GNU comme le compilateur par exemple.

la GNU a pendant longtemps essaye de developer un noyau jusqu a l arrivee de linus torvald et de son noyau, qui a rempli cette fonction au sein des distributions.

et gnu n est pas la license mais un acronyme recursif ( gnu is not unix). linux et l environnement est sous license GPL.


Ah je comprends mieux merci!
Le #1831985
Ici au boulot,

3 machines compromises (sur 280, les dégâts restent limités) et une zone du NAS ....

Heureusement on a put remonter les backup mais c'est ch**** quand même.

Du coup, on bloque le serveur de mail comme des porcs (au niveau des PJ) en espérant que cela marche.
Le #1831986
Doublec a écrit :

Ici au boulot,

3 machines compromises (sur 280, les dégâts restent limités) et une zone du NAS ....

Heureusement on a put remonter les backup mais c'est ch**** quand même.

Du coup, on bloque le serveur de mail comme des porcs (au niveau des PJ) en espérant que cela marche.


Sensibiliser les utilisateurs aux différents dangers, ça n'aide pas ?
Le #1831987
FRANCKYIV a écrit :

Doublec a écrit :

Ici au boulot,

3 machines compromises (sur 280, les dégâts restent limités) et une zone du NAS ....

Heureusement on a put remonter les backup mais c'est ch**** quand même.

Du coup, on bloque le serveur de mail comme des porcs (au niveau des PJ) en espérant que cela marche.


Sensibiliser les utilisateurs aux différents dangers, ça n'aide pas ?


Oui à condition qu'il lisent les mail que nous envoyons (pas toujours le cas).
Le pire c'est que le mail à été forwardé à l'administration par un membre du labo (donc les administratrices ont été encore moins prudentes) .... mieux vaut pour lui qu'il garde les mains dans les poches si je le croise .

Enfin cela prouve que le backup est plus qu'important.

A noter dans certain cas Symantec Endpoint Protection à bloqué l'attaque, en fonction du niveau de mise à jours du client (cela c'est joué à moins de 24H).
Le #1831989
en même temps faut être "con" pour ouvrir un mail qui t'énumère des achats que t'as pas fait,je l'ai vu passer ce mail sur un poste windows et il se trouvait dans le pourriel. donc poubelle direct et purge aussi sec.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]