Samas, Cerber, Surprise : trois nouvelles variantes de ransomware à placer sur votre radar

Ces derniers temps, la couverture des ransomware par la presse a suscité une sorte de notoriété de marque qui fait envie à de nombreux fournisseurs informatiques légitimes. Le succès des ransomware a compliqué la reconnaissance des différentes variantes à évolution rapide : différences dans la manière de contracter l’infection, nature des données chiffrées, montant de la rançon et nouvelles fonctionnalités spéciales.

Cependant, leur point commun est que le ransomware est devenu une activité très profitable pour les cybercriminels.

Par exemple, on signale que Locky (celui qui chiffre les données sur les disques locaux et les partages réseau non mappés) infiltre actuellement 90 000 systèmes par jour et demande environ 400 $ US par rançon. Si 25 % des victimes paient, les auteurs de Locky gagneraient en théorie presque 10 millions de dollars par jour ! Un vrai jackpot !

De plus, le chercheur en sécurité Jerome Segura a vu des attaquants ransomware effectuer une reconnaissance plus approfondie des victimes (telle que l’identification de l’utilisateur) pour déterminer s’ils peuvent exiger une rançon plus élevée1. Leçon : les études de marché s’avèrent également utiles dans le secteur d’activité des malware.

Il y a plusieurs choses à faire si la prévention vous intéresse. D’abord, disposer de sauvegardes récentes de vos données. Avec des sauvegardes, ce qui a été chiffré n’a aucune valeur.

Vous pouvez aussi en savoir plus sur la manière dont l’analyse du comportement des utilisateurs peut arrêter des attaques ransomware zero-day. Lawrence Abrams, expert en sécurité et fondateur de Bleeping Computer, a écrit dans un récent article que « la détection de comportement devient la meilleure manière de détecter et d’arrêter les ransomware étant donné que la détection de signatures est devenue facile à contourner ».

Et si vous voulez plus de conseils, cliquez sur notre guide des ransomware et lisez la section relative à l’atténuation.

Au fait, si vous êtes un client Varonis DatAlert, ouvrez une session Connect et lisez le Ransomware Detection Guide: How to Detect, Arrest, Identify and Clean.

Entre-temps, voici les plus récentes variantes de ransomware que vous devez avoir sur votre radar aux fins de prévention et d’atténuation :

  • Samas : chiffre le réseau d’une entreprise dans son intégralité
  • Cerber : un ransomware en mode SaaS qui chiffre un nombre énorme de types de fichiers
  • Surprise : infecte les utilisateurs de TeamViewer v10.0.47484

Samas

  • Montant de la rançon : testant actuellement le marché, les pirates demandent une rançon d’un à 1,7 bitcoin. Ou pour une véritable « affaire », les entreprises victimes peuvent acheter en gros et déchiffrer tous leurs systèmes infectés simultanément pour 22 bitcoins (environ 9 160 $).2
  • Algorithme de chiffrement : chiffrement RSA 2048 bits3
  • Mode d’infection : commence par un test de pénétration sur votre serveur et cherche les réseaux potentiellement vulnérables à exploiter4
  • Types de fichiers ciblés : Samas tente de chiffrer le réseau d’une entreprise dans son intégralité
  • Cliquez ici pour plus d’informations.

Cerber

  • Montant de la rançon : 1,24 bitcoin, soit environ 500 $ US5
  • Algorithme de chiffrement : AES-2566
  • Mode d’infection : actuellement, les chercheurs ne sont pas sûrs de son mode de distribution, mais il est offert sous forme de ransomware en mode SaaS. Les affiliés distribuent le ransomware, ce qui permet aux auteurs de Cerber de gagner une commission sur chaque paiement de rançon. Cependant, il n’attaque pas votre ordinateur si vous vivez dans un des pays suivants : Arménie, Azerbaïdjan, Biélorussie, Géorgie, Kazakhstan, Kirghizstan, Moldavie, Ouzbékistan, Russie, Tadjikistan, Turkménistan et Ukraine. Coïncidence7 ? Après chiffrement de vos informations, vous recevez trois fichiers (TXT, HTML et VBS) pour vous informer de l’action menée. Ces fichiers convertissent le texte de la rançon en message audio. Et comme dans un mauvais film, une voix robotique monotone vous dit « Attention. Attention. Attention. Vos documents, photos, bases de données et autres fichiers importants ont été chiffrés ! »
  • Cliquez ici pour plus d’informations.
  • Types de fichiers ciblés : .contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv 8

Surprise

  • Montant de la rançon : de 0,5 BTC à 25 BTC9. S’il frappe le réseau d’une entreprise composé de nombreuses machines, la rançon sera beaucoup plus élevée que pour un seul PC.
  • Algorithme de chiffrement : un mélange de RSA-2048 et AES-25610
  • Mode d’infection : pénètre via TeamViewer, une plateforme d’accès distant qui compte plus d’un milliard d’utilisateurs et permet à ses clients de recevoir une assistance technique, d’organiser des réunions et d’interagir avec leurs partenaires11. Il a infecté les utilisateurs ayant installé TeamViewer v10.0.47484. Comme dans le cas de Ransom32, vous recevez une « preuve de vie » dans laquelle un de vos fichiers est déchiffré gratuitement. L’attaquant prouve à ses victimes que leurs fichiers peuvent être déchiffrés après le paiement de la rançon.
  • Cliquez ici pour plus d’informations.
  • Types de fichiers ciblés : .asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif, .rar

Il existe de nombreuses variantes de ransomware qui apparaissent régulièrement mais il y a de fortes probabilités que vous soyez ciblés à court terme par l’un de ceux que nous venons de passer en revue. Soyez vigilants et n’hésitez pas à prendre les mesures nécessaires pour vous prémunir.

1 http://www.scmagazine.com/dark-web-forums-found-offering-cerber-ransomware-as-a-service/article/483101/
2 http://www.scmagazine.com/researchers-detect-surge-in-samsam-ransomware-that-spreads-via-vulnerabilities/article/485330/
3 http://www.scmagazine.com/researchers-detect-surge-in-samsam-ransomware-that-spreads-via-vulnerabilities/article/485330/
4 https://blogs.technet.microsoft.com/mmpc/2016/03/17/no-mas-samas-whats-in-this-ransomwares-modus-operandi/
5 http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/
6 http://www.pcworld.com/article/3040750/cerber-ransomware-sold-as-a-service-speaks-to-victims.html
7 http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/
8 http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/
9 http://privacy-pc.com/news/hackers-use-teamviewer.html
10 http://privacy-pc.com/news/hackers-use-teamviewer.html
11 http://privacy-pc.com/news/hackers-use-teamviewer.html