Forum Security-X > Malwares
[Fiches-Malware] Rogue/Scareware et Ransomware
(1/1)
hyunkel30:
[Fiches-Malware] Rogue/Scareware et RansomwareDéfinition
Les Rogues ( "escroc" en Anglais) que l'on nomme aussi Scareware ( de "Scare" = peur et "software" = logiciel) sont des faux programmes de sécurité et/ou d'optimisation dont le seul but est d'effrayer l'utilisateur afin qu'il paye une "licence" pour se débarrasser des soi-disantes "infections" présentes ou des problèmes matériels/système/registre détectés.
Les Ransomwares (de "ransom" = rançon et "software" = logiciel), sont eux des programmes qui vont réellement prendre en "otage" le système ou les données de l'utilisateur et demander un paiement en échange.
Le principe est le même, les auteurs cherchent à gagner de l'argent, c'est ce qu'on appel la monétisation des menaces.
En effet, les Rogues ne sont généralement qu'une partie d'un package, ils accompagnent d'autres menaces lors de l'infection pour générer des revenus supplémentaires. Actuellement la plupart des rogues sont souvent associés avec des rootkit/bootkit du type TDSS et/ou ZeroAccess/Max++, ce qui ne facilite pas leur suppression.
Symptômes
Rogue/Scareware
Les Rogues/Scareware se caractérisent par plusieurs choses selon leurs familles, mais on retrouve généralement :
* Un affichage en plein écran d'une fenêtre d'un logiciel inconnu au nom souvent trompeur.
* Une impossibilité de fermer cette fenêtre, lancer d'autres applications, ouvrir certains outils système (gestionnaire des tâches, registre, etc ...), parfois démarrer en mode sans échec.
* Un fond d'écran modifié.
* La disparition de ses icônes sur le bureau, dans le menu de démarrage et même de ses dossiers (mes documents, mes images, etc ...)
* L'impossibilité de se connecter à d'autres sites que celui du paiement de la "licence".
Les rogues jouent particulièrement sur cela, ils effraient les utilisateurs (d'où "scareware") en les bombardant d'alertes diverses sur des "virus" affectant leur système, ou bien, pour les "optimiseurs", en affichant de nombreuses "erreurs critiques" dans le Registre, ou sur le disque dur ...
Le principe est le même, mettre la panique pour inciter à "payer" la clé de licence de ce faux logiciel afin de retrouver son pc comme avant ... Ce qui ne sert à rien.
Plusieurs grandes familles existent, certaines reprennent les traits d'outils connu, le plus souvent de Windows Defender ou Microsoft Security Essentials
Ou bien d'autres solutions d'Antivirus connu, avec des noms accrocheurs et sonnant "vrai" :
Mais il y a aussi les rogues de type "optimiseur" qui détectent de faux problèmes dans le registre, le système ou le disque dur :
Ils sont régulièrement mis à jour avec de nouvelles interfaces et différents noms, même si ce ne sont que des coquilles vides.
Le principe d'infection reste généralement le même :
* Une clé Run pour démarrer avec le pc, associée à un fichier exécutable dans un dossier sous "Application Data".
* Une application d'attributs "caché" sur les raccourcis de dossiers pour les faire "disparaitre".
* Une modification des associations de fichier pour empêcher de lancer des exécutables ou obliger à relancer le rogue avec.
* Pour les plus évolué, un module "killAv" afin de "tuer" les solutions de sécurité sur le pc avant et pendant l'infection.
Ransomware
Les Ransomwares se caractérisent eux :
* par un blocage complet du pc dès l'ouverture ou même avant.
* L'apparition d'une fenêtre en langue étrangère ou non, avec un message d'avertissement/de menace et/ou une demande de "code".
* L'impossibilité de démarrer en mode sans échec, et d'accéder à ses documents.
En effet ils s'attaquent généralement à diverses clés de démarrage, et de chargement des sessions (winlogon, shell, ...), et pour les plus évolué ils cryptent tout ou partie des documents trouvés sur le pc, ce qui les rend particulièrement dangereux.
Sans la clé de cryptage nécessaire, impossible de reprendre la main sur ses documents, même si on parvient à supprimer l'infection.
Leur nom est alors tout indiqué, car le plus souvent les personnes devront payer pour obtenir la clé ... s'il l'obtiennent ... ce qui n'est généralement pas le cas ...
Et puis comme souvent le message est dans une langue étrangère, les gens ne savent même pas quoi faire :
Suppression
Rogue/Scareware
Il est loin le temps où l'on pouvait supprimer un rogue en le désinstallant comme un programme normal ... (si, si, c'était vrai pour les premiers rogues :NNN ), ou avec des outils comme SmitfraudFix ...
Actuellement, pas de méthode miracle, mais généralement, réussir à tuer le processus du rogue en cours permet de faire ensuite le ménage. Encore faut-il avoir la main sur le pc ...
Parfois un simple redémarrage en mode sans échec permet d'avoir accès facilement, mais c'est de moins en moins le cas.
La méthode la plus générale consiste donc :
* A couper le processus du rogue sans en être empêcher, pour cela des outils comme RogueKiller (de Tigzy) ou Rkill (de Grinler) peuvent aider
* Puis supprimer la clé de démarrage et l’exécutable associé, il se présente sous la forme d'un nom aléatoire dans un dossier au nom aléatoire sous Application Data, si on a réussit à couper le processus, on peut aussi s'aider de Malwarebyte's Antimalware qui gère bien ces infections, ou bien ComboFix
* Si les associations de fichiers on été modifiées, lancer un exécutable relancera le rogue, mais Rkill remet normalement la bonne association pour les exécutables
* Si le fond d'écran a été modifié, et les dossiers caché, il faut utiliser l'option 6 de RogueKiller, ou un outil comme UnHide (de Grinler)
* Si rien ne fonctionne, il faut en passer par un LiveCD pour passer outre le blocage du rogue
Dans tous les cas, il faudra ensuite vérifier l'absence d'infections associées, notamment rootkit ou bootkit
Ransomware
Là, c'est bien plus difficile.
Généralement, on a pas la main sur le pc ..., dans ce cas là, l'utilisation d'un LiveCD peut être utile.
* A la différence d'un rogue, les ransomware utilisent plutôt les clé de type Winlogon ou Shell, ce qui empêche généralement d'accéder au commande du pc.
* Sous le LiveCD ou si l'accès par le mode sans échec fonctionne, il faut nettoyer les clés modifiées en faisant bien attention de remettre les bonnes données, ou l'ouverture de session ne fonctionnera plus !
* On peut ensuite relancer normalement le pc et nettoyer avec un outil comme Malwarebyte's Antimalware
Malheureusement, si le ransomware a crypté vos données, rien n'y fera et vous n'aurez aucune chance de les récupérer !
Certains éditeur de solution de sécurité arrivent à créer des outils de décryptage selon les version des ransomwares, ici par Kaspersky sur le ransomware Xorist
Ressource et liens utiles :
Le blog de Xylitol, beaucoup d'informations sur tous les types de rogues et ransomware. On y trouve aussi quelques codes de décryptage pour les ransomwares.
Celui de S!Ri, auteur de Smitfraudfix, même si son outil ne gère plus les rogues actuels, il étudie toujours ces menaces.
Plusieurs lien chez Malekal :
http://forum.malekal.com/est-que-les-rogues-scareware-t589.html
http://forum.malekal.com/rogues-scareware-programmes-douteux.html
http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/ un article sur un ransomware à la française
Le blog de Tigzy (auteur de Roguekiller)
Toujours infecté ? Une question avant de faire des manipulations ?
Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/ en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
http://forum.security-x.fr/desinfections/
igor51:
DrWeb a sorti un fix pour les versions renommant les fichiers en .locked http://forum.malekal.com/virus-locked-t37459.html#p29289
Explications dans ce post http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/
Navigation
Sortir du mode mobile