CryptoWall est de retour, et prétend vous aider à améliorer votre sécurité

publié par Laboratoires Antivirus Bitdefender, le 10 novembre 2015

Le laboratoire Antivirus Bitdefender a analysé le comportement de CryptoWall 4.0 et a développé un vaccin gratuit contre ce ransomware.

La tristement célèbre famille de ransomwares CryptoWall est de retour avec CryptoWall 4.0 qui prétend vouloir chiffrer des données pour tester l’aptitude des solutions antivirus à protéger vos données.

« Le Projet CryptoWall n’est pas malveillant et n’est pas destiné à nuire aux individus et leurs données. Le projet vise uniquement à éduquer dans le domaine de la sécurité informatique, ainsi qu’à certifier l’aptitude des solutions antivirus à protéger les données. Ensemble, nous faisons d’Internet un endroit meilleur et plus sûr. »

Cette fois-ci, les pirates demandent aux victimes de payer la somme de 700$ en Bitcoins (1.83 BTC). Actif depuis avril 2014, agissant sous trois variantes connues, CryptoWall est à l’origine de  plus d’un million d’euros de pertes par mois selon les rapports fédéraux.

Le comportement de CryptoWall 4.0

Les chercheurs en malwares de Bitdefender ont analysé un échantillon de nouvelles souches du malware et ont observé de nettes différences entre CryptoWall 4.0 et ses prédécesseurs.

En termes de propagation, CryptoWall semble utiliser les mêmes méthodes de distribution par e-mail que les versions précédentes, via des e-mails infectés.

CryptoWall est de retour, et prétend vous aider à améliorer votre sécurité

Le malware affiche une demande de rançon retravaillé et de nouveaux noms de fichiers, mais le changement le plus notable est que CryptoWall 4.0 encode désormais les noms des fichiers. Le nom de chaque fichier est modifié en une série de caractères aléatoires et tout le fichier est chiffré. Ainsi, il est quasiment impossible pour l’utilisateur de différencier les fichiers ayant été chiffrés.

CryptoWall est de retour, et prétend vous aider à améliorer votre sécurité

CryptoWall est de retour, et prétend vous aider à améliorer votre sécurité

Après avoir chiffré tous les fichiers, le malware affiche un message de rançon dans trois formats : HTML, TXT et PNG. Le message est sensiblement différent des précédentes versions : plus long, moins alarmiste et avec une pointe d’ironie.

CryptoWall est de retour, et prétend vous aider à améliorer votre sécurité

Après avoir ainsi ‘éduqué’ les utilisateurs sur le chiffrement, les hackers précisent qu'ils sont les seuls à disposer du prétendu logiciel de déchiffrement que les utilisateurs doivent s’empresser de payer et aussi que "toute tentative de restaurer vos fichiers avec d’autres outils fournis par des tiers peuvent être fatales aux fichiers chiffrés." Métaphoriquement parlant, les fichiers endommagés sont autant de  pièces manquantes du puzzle, l'image ne sera jamais de nouveau complète, si vous ne payez pas.

Pour préserver l’anonymat, le ransomware demande aux utilisateurs de payer la rançon via une adresse Tor. Les pirates préviennent aussi leurs victimes que les solutions antivirus sont à blâmer si des informations sont supprimées en essayant de bloquer la menace.

Le message recommande de payer sous 2-3 jours, au cas où les liens seraient désactivés.

CryptoWall 4.0 continue d’utiliser le même site de service de déchiffrement que les versions précédentes. Sur ce site, la victime peut effectuer et valider l’état de ses paiements et même formuler une demande d’assistance.

CryptoWall est de retour, et prétend vous aider à améliorer votre sécurité

Les serveurs de spam de CryptoWall 4.0 sont situés en Russie et le malware écrit en Javascript télécharge le composant de ce ransomware depuis un serveur russe.

Les investigations de Bitdefender révèlent aussi que l’algorithme de chiffrement utilisé est de l’AES 256. Seule la clef est chiffrée en RSA 2048, qui est un algorithme impossible à déchiffrer de part sa complexité.

Les pays ciblés jusqu’ici et identifiés par Bitdefender incluent : la France, l’Italie, l’Allemagne, l’Inde, la Roumanie, l’Espagne, les États-Unis, la Chine, le Kenya, l’Afrique du Sud, le Koweït et les Philippines. Les utilisateurs russes semblent être à l’abri. Le malware ne poursuit pas le chiffrement s’il détecte que la langue du clavier est le russe.

Comment se protéger de CryptoWall ?

Dans la lignée de ses prédécesseurs, CryptoWall est rapidement devenu un succès financier pour ses créateurs. De récents chiffres montrent que les dommages liés à CryptoWall 3.0 s’élèvent à 325 millions de dollars, uniquement aux États-Unis. Ce succès a incité d'autres groupes de cybercriminels à écrire un nouveau code qui utilise des algorithmes de chiffrage plus sophistiqués. Par conséquent, il devient de plus en plus difficile pour les éditeurs d’antivirus de déchiffrer le code et de proposer une solution.

Les utilisateurs des solutions de sécurité Bitdefender 2016 sont d’ores et déjà protégés contre le chiffrement de CryptoWall. La nouvelle technologie anti-ransomware de Bitdefender, unique sur le marché, empêche le chiffrement de fichiers et documents personnels et protège ainsi contre tous les rançongiciels, même nouveaux et inconnus.

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.