Sécurité - Vincent Lecomte

[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

Publié le 7 juillet 20207 juillet 2020 par Vincent L

Le ransomware Try2Cry est un logiciel malveillant récemment découvert par l’analyste Karsten Hahn de la société G DATA, qui se propage à l’aide de clés USB et de raccourcis Windows (fichiers .lnk), afin de potentiellement toucher d’autres victimes.

Try2Cry infecte les PC sous Windows 7, 8/8.1 et 10. L’information a été relayée par le site Bleeping Computer.

Comment ça marche?

Lorsqu’il infecte une machine, Try2Cry chiffre les documents et images auxquels il ajoute l’extension .Try2Cry. Les données sont chiffrées à l’aide de l’algorithme Rijndael et une clé codée en dur.

Détail amusant : l’auteur a fait en sorte que le malware n’infecte pas les machines dont le nom est DESKTOP-PQ6NSM4 ou IK-PC2. On peut supposer que cela lui ait donné la possibilité de tester le logiciel sans verrouiller ses fichiers.

Les clés USB pour se propager

La particularité du ransomware Try2Cry est qu’il se propage à l’aide de clés USB. La technique employée est similaire à celle d’autres logiciels malveillants comme le botnet Andromeda ou le ransomware Spora.

Depuis une machine infectée, la première étape est de détecter si des périphériques amovibles sont branchés. Si un tel périphérique – une clé USB par exemple – est détecté, le ransomware va en cacher les fichiers présents puis créer des raccourcis (fichiers .lnk) vers ceux-ci.

Lorsque l’utilisateur clique sur l’un de ces raccourcis, cela a pour effet d’accéder au fichier caché lié mais aussi d’exécuter le fichier “Update.exe” qui est une copie du malware. Le petit plus? Try2Cry va rajouter des copies de lui-même avec des noms en arabe afin d’éveiller la curiosité des potentielles victimes.

Grâce à cela et aux icônes des raccourcis il est assez facile à reconnaitre lorsqu’il infecte une clé USB.

Faible sécurité

D’après le rapport d’analyse le déchiffrement des fichiers serait possible assez facilement. Try2Cry est en fait une autre variante du ransomware open-source “Stupid”.

Un outil a déjà été créé afin de déchiffrer les fichiers dont les extensions font partie de la liste ci-dessous.

.666, .adam, .alosia, .android, .ANNABELLE, .anon,
.bycicle, .corrupted, .crypted, .CYRON, .deria, .devil,
.Doxes, .encrypt, .eTeRnItY, .FailedAccess, .fucked, 
.fucking, .fun, .H34rtBl33d, .Harzhuangzi, .haters, 
.iGotYou, .jeepers, .jigsaw, .killedXXX, .lock, .malki, 
.Malki, .MIKOYAN, .Nazi, .powned, .purge, .slvpawned, 
.SnakeEye, .Tesla, .whycry, .WINDIE, .XmdXtazX, .xncrypt, 
_crypt0, _nullbyte

Sources

[Android] Retrait d’applications qui volaient les identifiants Facebook

Publié le 1 juillet 20201 juillet 2020 par Vincent L

Le Play Store regorge d’applications pour nos smartphones. Parmi celles-ci on retrouve régulièrement des applications malveillantes. C’est suite à un rapport de la société de cybersécurité Evina que Google a procédé au retrait de 25 applications qui volaient les identifiants Facebook.

Afin de tromper l’utilisateur, les applications développées proposaient des services classiques comme le scan de codes QR ou la gestion de fichiers. D’autres se présentaient sous forme de jeux vidéo. Cependant chacune d’entre elles contenait un code malicieux permettant de détecter la dernière application ouverte.

Si celle-ci était Facebook alors le malware enclenchait l’ouverture d’une fausse page web permettant de subtiliser les identifiants de l’utilisateur. Lorsque l’utilisateur confirmait les données étaient envoyées à un serveur distant.

Voici la liste d’applications concernées :

Accurate Scanning of QR Code
Anime Live Wallpaper
Classic Card Game
Color Wallpapers
com.tqyapp.fiction
Composite Z
Contour Level Wallpaper
Daily Horoscope Wallpapers
File Manager
iHealth Step Counter
iPlayer & iWallpaper
Junk File Cleaning
Padenatef
Pedometer
Plus Weather
Powerful Flashlight
Screenshot Capture
Solitaire Game
Super (Bright) Flashlight, Super Wallpapers Flashlight
Synthetic Z
Video Maker
Wallpaper Level
Wuxia Reader

Cette liste a été transmise à Google fin mai. La firme a ensuite procédé au retrait des applications malveillantes début juin. Dès lors si vous retrouvez l’un des éléments de cette liste sur votre smartphone, désinstallez-le rapidement.

En outre la société de cybersécurité met en garde les utilisateurs en leur recommandant de toujours télécharger des applications de développeurs de confiance. La prudence est donc de mise.

De plus en volant vos identifiants, les hackers peuvent accéder à votre compte ou des sites utilisant l’API Facebook. De manière générale il est donc vivement recommandé de protéger vos comptes actuels en utilisant l’authentification à deux facteurs.

A lire également
[Sécurité] Le phishing
Publié: 4 février 2013
Vous avez déjà dû entendre parler de la technique de “hameçonnage”, traduction de l’expression anglaise “phishing”. Expression obtenue en mixant deux mots de la même langue, à savoir “fishing” (l’action de pêcher) et “phreaking” (obtention d’informations transitant sur des réseaux téléphoniques, satellites, ou même via les ondes radios). La technique consiste à usurper l’identité de […]
0 commentaire

Sources

[Windows 10] La mise à jour de mai 2020 est retardée

Publié le 2 mai 202027 mai 2020 par Vincent L

Vous l’attendiez peut-être depuis quelques jours surtout après les bonnes nouvelles concernant la refonte du moteur d’indexation et de recherche du système d’exploitation, qui permettrait de significativement améliorer les performances sur les machines à disques durs. Et bien malheureusement la build 2004 de Windows 10 est retardée… à cause d’une faille de sécurité.

Comme chaque année depuis sa sortie, Windows 10 reçoit deux mises à jour importantes dont une aux alentours du mois d’avril. À la lecture de nombreux articles on pouvait penser à juste titre que celle-ci arriverait en début de mois de mai, sauf que suite à la découverte d’une faille zero-day, elle sera bel et bien repoussée. Dommage !

D’après Mary Jo Foley, une journaliste du site ZDNet, il n’est pas impossible que la mise à jour soit livrée le 28 mai. Quant aux développeurs ils devraient recevoir une mise à jour lors du Patch Tuesday (à savoir le 12 mai). On n’apprend malheureusement rien de plus sur cette fameuse faille de sécurité mais on peut facilement comprendre ce report surtout après les nombreuses critiques de ces dernières semaines.

Sources

Phonandroid
ZDNet

[Système] Microcode Intel pour Windows 10 1803

Publié le 17 mai 20185 mai 2020 par Vincent L

Jusqu’à présent Microsoft ne proposait pas les mises à jour nécessaires pour le microcode des processeurs Intel pour Windows 10 April Update (version 1803), laissant ainsi la faille Spectre à nouveau ouverte. C’est désormais réglé puisque le catalogue Microsoft Update reprend une nouvelle mise à jour, la KB4100347. Comme cela a déjà été expliqué dans un article sur ce blog, vous pouvez utiliser l’outil GRC InSpectre pour connaitre le CPUID de votre processeur.

Repérez ensuite la bonne version du patch à télécharger et l’architecture correspondant à celle de votre OS. Il vous sera demandé de redémarrer après l’installation. Vérifiez ensuite avec le petit outil si la protection est bien active.

Si la mise à jour ne s’applique pas à votre processeur, vérifiez si le constructeur de votre carte mère ne propose pas un nouveau BIOS. Dernièrement Asus – comme d’autres marques – a sorti des versions bêta pour certains modèles tels que les Maximus VII, et les retours sont plutôt positifs.

[Windows 10] Firmware Intel contre Spectre

Publié le 16 mars 201827 mai 2020 par Vincent L

Depuis le début du mois de mars Intel collabore avec Microsoft pour délivrer aux utilisateurs de Windows 10 (version 1709) les mises à jour du firmware de ses processeurs qui sont touchés par la fameuse faille Spectre. Déployée au démarrage du système, cela permet aux possesseurs de plus anciennes machines de se protéger au maximum alors qu’ils ne bénéficient pas forcément d’un BIOS mis à jour.

Il y a deux jours le patch a donc été mis à jour pour couvrir les processeurs des gammes Kaby Lake et Coffee Lake, en plus de Skylake. Il s’agit de la mise à jour KB4090007. Le tableau présent sur cette page liste les versions existantes de cette mise à jour, et précise quels sont les CPU concernés à chaque fois. La colonne CPUID vous permettra d’identifier si le votre peut recevoir le correctif.

Téléchargez l’outil InSpectre créé par Gibson Research Corporation, sur la page ici. Ce petit logiciel, ne nécessitant aucune installation, vous indique si votre ordinateur est protégé contre Spectre et Meltdown. Il vous permet également de désactiver les protections pour chacune, si vous rencontrez des problèmes de performances. Et nouveauté de la dernière version : elle indique le CPUID, soit le code qui identifie votre processeur, et qui doit correspondre à un élément dans le tableau sur la page Microsoft du correctif.

Localisez la bonne version du correctif lié au CPUID du processeur, puis rendez-vous sur le catalogue Microsoft Update pour récupérer le patch. Une fois téléchargé, exécutez-le. L’installation ne prend que quelques secondes et vous invite à redémarrer une fois terminée.

Au redémarrage, il faudra exécuter l’outil InSpectre en mode administrateur, et activer la protection pour Spectre.A noter que pour les anciennes versions de Windows, des patches logiciels sont déployés mais ne protègent pas complètement des attaques. Certains bidouilleurs passent alors par des solutions alternatives en moddant le BIOS pour injecter le firmware quand le constructeur de la carte mère ne fournit plus de support logiciel.

Pendant ce temps, Intel améliore le design de ses puces afin d’y intégrer une protection matérielle, et continuerait de mettre en production les firmwares pour les plus anciennes gammes, d’après le bout de document ci-dessus. Espérons que Microsoft continue à les déployer via Microsoft Update…

[Sécurité] Quel site fabrique de la cryptomonnaie?

Publié le 27 novembre 20175 mai 2020 par Vincent L

Il y a peu j’avais pu constater que certains sites (notamment des sites proposant du téléchargement illégal) utilisaient le moteur JavaScript du navigateur pour miner de la crypto-monnaie. C’est une pratique qui semble devenir… monnaie courante – pardon pour le jeu de mots – afin de générer des revenus. Cela vise à remplacer les bannières publicitaires. Le minage n’est pas toujours avantageux puisqu’il peut utiliser pas mal de ressources CPU de votre machine. Korben met en avant un site web intéressant pour vérifier où ce principe est appliqué. Il s’agit de Whoismining?

Saisissez l’adresse du site internet à vérifier et cliquez sur “Check“. Le résultat indique la méthode de fabrication, en analysant le script utilisé (ex : jsecoin, coinhive.com, etc). Vous pourrez donc savoir quels sont les coquins qui font craquer votre machine. Si vous êtes totalement contre cette pratique il n’est pas inutile d’employer des extensions comme Noscript. Cela bloquera l’exécution de ces scripts et donc, votre ordinateur restera tranquille !

Edition du 4 décembre 2017 : il semblerait que certains scripts ouvrent une fenêtre de votre navigateur en arrière-plan en positionnant celle-ci derrière la barre de tâches. Si la transparence est activée, vous pouvez facilement la repérer.

Sources

Korben

[Sécurité] Bad Rabbit arrive en Europe

Publié le 26 octobre 20175 mai 2020 par Vincent L

Bad Rabbit est un nouveau malware développé sur base du code de Petya. Il s’attaque aux partages réseau, notamment dans les entreprises. Le malware propose tout d’abord à l’utilisateur d’installer une soi-disant mise à jour d’Adobe Flash. Une fois qu’il accepte, le logiciel malveillant commence à scanner les partages réseaux SMB (“Server Message Block“, le protocole de partage utilisé par les PC sous Windows) ouverts et tente d’accéder à ceux qui sont protégés à l’aide d’une liste d’utilisateurs / mots de passe prédéfinie.

Il va évidemment chiffrer tout ce à quoi il a eu accès lors de son analyse, en demandant évidemment à la victime de débourser la somme de 0,05 bitcoin pour débloquer la situation (avec un prix qui semble augmenter au fil des heures). Comme d’habitude : ne payez pas ! Kaspersky recommande même de désactiver le service WMI pour bloquer la propagation du malware.

Sources

Korben

[Sécurité] Patch de sécurité pour WannaCry

Publié le 16 mai 20175 mai 2020 par Vincent L

Le patch de sécurité KB4012598 est disponible depuis hier pour Windows XP, Vista, 8 et 2003 via le catalogue Microsoft Update. Il corrige la faille de sécurité CVE-2017-0145 qui était présente dans le protocole de partage de fichiers SMB “Server Message Block” de Windows.

Celle-ci permettait notamment au ransomware WannaCry de se propager via le réseau local sur des machines vulnérables après avoir été téléchargé par l’utilisateur sur son PC. Celui-ci aura fait quelques dégâts dans les entreprises et chez les particuliers durant ces derniers jours…

Pour télécharger le correctif :

Pour Windows XP / 8 / 2003 : cliquez ici
Pour Windows Vista / 2008 : cliquez ici

La faille a été corrigée lors du Patch Tuesday du 12 mars 2017 pour les autres systèmes d’exploitation, dont Windows 10.Voir aussi : outil de déchiffrement WannaKey

Sources

Tous Les Drivers

[Sécurité] No More Ransom!

Publié le 22 mars 201727 mai 2020 par Vincent L

En parcourant un forum, j’ai découvert un site bien pratique qui pourrait vous être utile en cas d’infection par un ransomware. On en a assez bien parlé mais si vous ne le savez pas encore, ces logiciels malveillants agissent en bloquant bien souvent l’interface utilisateur, incitant alors ce dernier à payer une certaine somme pour retrouver l’accès à son ordinateur et/ou ses fichiers (qui auraient été chiffrés).

Bien entendu, il n’est pas certain de recevoir la clé une fois le paiement effectué. Après tout, ce sont des arnaqueurs qui répandent ce genre de cochonnerie, il serait mal avisé de leur faire confiance.

C’est ainsi que le site No More Ransom va peut-être réaliser le miracle que vous attendiez!

La première étape consiste à identifier le type de ransomware qui s’est méchamment incrusté dans votre machine. Le site Malekal regorge d’informations à ce sujet, mais vous pouvez bien entendu utiliser la fonctionnalité Crypto Sheriff du site présenté ci-dessus. Celle-ci nécessite l’une des actions suivantes:

Envoyer un fichier sous sa forme cryptée.
Transmettre le nom, l’adresse e-mail ou même l’URL du site web, l’adresse bitcoin, qui est indiquée par l’auteur du logiciel malveillant et qui lui permet de recevoir son paiement.
Transmettre le fichier texte d’instructions créé par le ransomware, qui porte généralement l’extension TXT.

Une fois cette opération effectuée il faut cliquer sur le bouton “Find out” pour laisser l’outil faire le reste.

La seconde étape consiste à télécharger l’outil de décryptage adéquat et lié au ransomware qui a été installé (et espérons-le, éradiqué à l’heure qu’il est) sur votre PC. Si vous connaissez déjà le doux nom de la crasse qui a osé s’emparer de votre machine, alors vous pouvez directement vous rendre dans la section “Decryption Tools” du site et télécharger le bon fichier.

Et si vous n’aimez pas l’anglais, sachez que l’interface est disponible en français ! N’hésitez pas à explorer les autres rubriques comme les questions/réponses (FAQ), les conseils de préventions,… Aujourd’hui l’attaque à l’aide de ransomwares est plutôt répandue ; celle-ci doit être prise au sérieux puisqu’elle touche aussi bien les particuliers que les professionnels.

[Sécurité] Invite durant l’installation de Windows

Publié le 18 décembre 20165 mai 2020 par Vincent L

Durant une installation de Windows, il est possible d’obtenir un invite de commandes en appuyant simultanément sur les touches SHIFT (Majuscule) + F10. Elle permet à l’utilisateur d’appeler des commandes spécifiques en cas de situation bloquante.

Seulement, pendant l’installation des mises à jour de Windows 10, cette manipulation a révélé que l’invite s’ouvrait en mode administrateur (privilège de type SYSTEM)… mais aussi que Bitlocker était désactivé ! C’est ce qu’a découvert un expert en sécurité, Sami Laiho, il y a quelques semaines. Un problème que Microsoft dit être en train de résoudre.

L’expert envisage alors plusieurs scénarios dans lesquels l’exploitation de cette faille est possible : le premier implique évidemment que vous laissiez votre ordinateur seul pendant le processus de mise à jour. Les autres sont moins probables mais pourtant pas dénués de sens.

Sources

BleepingComputer