CRYPTOFORTRESS en 5 questions/réponses

Nous avons observé cette semaine la découverte d’un nouveau ransomware, baptisé CRYPTOFORTRESS, que nous avons rapidement analysé pour l’un de nos clients.

1. Qu’est-ce qu’un ransomware ?

Un ransomware est une catégorie de malware qui va chiffrer de nombreux documents pour ensuite demander une rançon à l’utilisateur. Les ransomwares sont des malwares apparu à la fin des années 80. Leur nombre est toutefois en explosion depuis plusieurs mois. Le plus connu d’entre eux est sans doute CryptoLocker qui a pu rapporter plusieurs dizaines de millions de dollars à son/ses créateurs.

2. Qu’est-ce que Cryptofortress ?

Cryptofortress est un malware de type ransomware. Il est basé en grande partie sur un autre ransomware nommé TorrentLocker.

3. Quelles sont les actions réalisées par le malware ?

Lors de son exécution, le malware va effectuer différentes actions :

• Dans un premier temps, il va parcourir l’ensemble des disques accessibles, qu’ils soient locaux, partagés ou bien amovibles.
• Puis, il va rechercher un ensemble de fichiers ayant certaines extensions (documents OFFICE, XML, Photos/Vidéos, etc.). La liste complète est disponible ci-dessous.

.0??, .1cd, .3fr, .3gp, .7z, .?ar, .abk, .accdb, .adf, .ai, .arc, .arj, .arw, .ashbak, .ashdisk, .avi, .ba?, .backup, .bk?, .bmp, .bup, .cdr, .cdx, .cer, .cf, .cfu, .cr?, .cs?, .da?, .dbf, .dcr, .der, .dic, .divx, .djvu, .dng, .doc, .doc?, .dt, .dwg, .dx?, .e?f, .efd, .eps, .er?, .fbw, .fh, .flv, .frp, .gh?, .gif, .gzip, .hbi, .hdb, .htm, .html, .ifo, .img, .indd, .iso, .iv2i, .jpeg, .jpg, .kdc, .key, .kwm, .ld?, .m2v, .max, .md, .md?, .mef, .mkv, .mov, .mp4, .mpeg, .mpg, .mrw, .nba, .ndf, .nef, .nr?, .od?, .ol?, .one, .orf, .p12, .p7?, .pb?, .pd?, .pef, .pem, .pfx, .png, .pps, .pps?, .ppt, .ppt?, .psd, .pst, .ptx, .pwm, .qbw, .r??, .sco, .sef, .sk, .sr2, .srf, .srw, .tbk, .tc, .tib, .tif, .tmd, .txt, .v?, .v??, .v???, .wb2, .wbb, .wim, .wmv, .wpd, .wps, .x3f, .xl?, .xls?, .xml, .z?, .z??, .z???

• Il va chiffrer les deux premiers méga-octets de chacun de ces fichiers avec l’algorithme AES 256 bits en mode ECB. Ces fichiers seront au format « frtrss ». Les fichiers originaux seront supprimés.
• Le malware va alors générer une page HTML indiquant les instructions à suivre pour récupérer les fichiers. La clé de chiffrement est stockée localement et elle-même chiffrée avec une clé RSA de 1024 bits.
• Pour finir, le malware va supprimer son binaire du système et également supprimer les Volumes Shadow Copy (VSC) qui permettrait une restauration système.

L’ensemble de ce processus est effectué hors ligne, sans contact avec un quelconque centre de commande et de contrôle.

Les échantillons en notre possession ne présentent aucune fonction permettant au malware de se répliquer ou de se propager sur le réseau. Néanmoins, les performances du malware lui permettent de chiffrer très rapidement l’ensemble des fichiers ciblés, et ce, en moins de 10 minutes.

Par ailleurs, le malware ne semble présenter aucune fonctionnalité de persistance sur le système infecté. En effet, celui-ci se supprime automatiquement à la fin de son « travail » sans s’installer (copie aléatoire, clé de registre…). Ainsi, si le malware est toujours en cours d’exécution il sera nécessaire de terminer le processus. Dans le cas contraire, aucune action de nettoyage n’est requise.

4. Je ne comprends rien à la cryptographie, que cela signifie-t-il ? Peut-on récupérer les données ?

Les algorithmes de chiffrement utilisés par le malware sont très forts. Le chiffrement RSA est aujourd’hui l’un des outils majeurs qui permet d’assurer la confidentialité des échanges sur Internet. À l’heure actuelle, seules quelques équipes de chercheurs sont parvenues à contourner voire partiellement casser l’algorithme. L’une de ces équipes avait notamment montré qu’il leur avait fallu 1 siècle de temps machine pour casser cette clé.

La clé de chiffrement des fichiers (AES 256 bits) de l’utilisateur est elle stockée en mémoire pendant l’exécution du programme. Il est donc possible de la récupérer avant que le programme ne se termine. Cependant, le chiffrement des fichiers est très rapide car seuls les deux premiers méga-octet du fichier sont chiffrés. De plus chaque clé généré est unique, il est donc très difficile de la récupérer.

En résumé, il est impossible de récupérer ses données sans casser la clé RSA, une fois que le malware a terminé son exécution.

5. Quelles sont les recommandations face à ce ransomware ?

Pour parer ce malware en entreprise, nous vous proposons 5 recommandations :

• Identifier et mettre en quarantaine les machines contenant des fichiers « .frtrss » ;
• Le cas échéant, lister les processus en exécution afin d’identifier le malware en cours et terminer le processus associé ;
• Dans le cas de serveurs de fichiers, identifier les connexions réseau existantes et les utilisateurs connectés parcourant l’ensemble des dossiers (par exemple depuis les logs) ;
• Identifier le nom de l’utilisateur ayant créé les fichiers « .frtrss » afin d’essayer d’identifier l’ordinateur à la source de l’infection ;
• Sensibiliser l’ensemble des utilisateurs sur cette attaque (ne pas ouvrir de pièces jointes suspectes). Les informations en notre possession indiquent que le malware est majoritairement envoyé dans le cadre de campagne de Phishing par e-mail.

En parallèle, il est fortement conseillé de contacter en urgence le support de l’ensemble des éditeurs antivirus afin d’obtenir des signatures antivirales à jour.