Security-X

Forum Security-X => Sécurité Générale => Malwares => Discussion démarrée par: hyunkel30 le décembre 10, 2011, 11:01:12

Titre: [Fiches-Malware] Rogue/Scareware et Ransomware
Posté par: hyunkel30 le décembre 10, 2011, 11:01:12
[Fiches-Malware] Rogue/Scareware et Ransomware
Définition

Les Rogues ( "escroc" en Anglais) que l'on nomme aussi Scareware ( de "Scare" = peur et "software" = logiciel) sont des faux programmes de sécurité et/ou d'optimisation dont le seul but est d'effrayer l'utilisateur afin qu'il paye une "licence" pour se débarrasser des soi-disantes "infections" présentes ou des problèmes matériels/système/registre détectés.
Les Ransomwares (de "ransom" = rançon et "software" = logiciel), sont eux des programmes qui vont réellement prendre en "otage" le système ou les données de l'utilisateur et demander un paiement en échange.

Le principe est le même, les auteurs cherchent à gagner de l'argent, c'est ce qu'on appel la monétisation (http://forum.malekal.com/business-malwares-pourquoi-des-infections-t17580.html) des menaces.
En effet, les Rogues ne sont généralement qu'une partie d'un package, ils accompagnent d'autres menaces lors de l'infection pour générer des revenus supplémentaires. Actuellement la plupart des rogues sont souvent associés avec des rootkit/bootkit du type TDSS et/ou ZeroAccess/Max++, ce qui ne facilite pas leur suppression.

Symptômes

Rogue/Scareware

Les Rogues/Scareware se caractérisent par plusieurs choses selon leurs familles, mais on retrouve généralement :

Les rogues jouent particulièrement sur cela, ils effraient les utilisateurs (d'où "scareware") en les bombardant d'alertes diverses sur des "virus" affectant leur système, ou bien, pour les "optimiseurs", en affichant de nombreuses "erreurs critiques" dans le Registre, ou sur le disque dur ...
Le principe est le même, mettre la panique pour inciter à "payer" la clé de licence de ce faux logiciel afin de retrouver son pc comme avant ... Ce qui ne sert à rien.

Plusieurs grandes familles existent, certaines reprennent les traits d'outils connu, le plus souvent de Windows Defender ou Microsoft Security Essentials

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Ffiches%2Frogues%2FFake_MSE-2.jpg&hash=8e189eac091e72ddd1469bd9a5aad095fc0854f4)

Ou bien d'autres solutions d'Antivirus connu, avec des noms accrocheurs et sonnant "vrai" :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Ffiches%2Frogues%2FTotal_Protect.jpg&hash=18b1bcec8e6f01a06e004f579c73971ba2497aeb)

Mais il y a aussi les rogues de type "optimiseur" qui détectent de faux problèmes dans le registre, le système ou le disque dur :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Ffiches%2Frogues%2FWindows_7_Recovery.jpg&hash=84b514fb86248e19f2c3675302c01d4bc66f9625)

Ils sont régulièrement mis à jour avec de nouvelles interfaces et différents noms, même si ce ne sont que des coquilles vides.

Le principe d'infection reste généralement le même :



Ransomware

Les Ransomwares se caractérisent eux :

En effet ils s'attaquent généralement à diverses clés de démarrage, et de chargement des sessions (winlogon, shell, ...), et pour les plus évolué ils cryptent tout ou partie des documents trouvés sur le pc, ce qui les rend particulièrement dangereux.
Sans la clé de cryptage nécessaire, impossible de reprendre la main sur ses documents, même si on parvient à supprimer l'infection.
Leur nom est alors tout indiqué, car le plus souvent les personnes devront payer pour obtenir la clé ... s'il l'obtiennent ... ce qui n'est généralement pas le cas ...

Et puis comme souvent le message est dans une langue étrangère, les gens ne savent même pas quoi faire :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Ffiches%2Frogues%2FRansomware1.jpg&hash=862ff18994f481ba2defa911286ea39bd3f9d265)


Suppression


Rogue/Scareware

Il est loin le temps où l'on pouvait supprimer un rogue en le désinstallant comme un programme normal ... (si, si, c'était vrai pour les premiers rogues  :NNN ), ou avec des outils comme SmitfraudFix ...

Actuellement, pas de méthode miracle, mais généralement, réussir à tuer le processus du rogue en cours permet de faire ensuite le ménage. Encore faut-il avoir la main sur le pc ...
Parfois un simple redémarrage en mode sans échec permet d'avoir accès facilement, mais c'est de moins en moins le cas.

La méthode la plus générale consiste donc :

Dans tous les cas, il faudra ensuite vérifier l'absence d'infections associées, notamment rootkit ou bootkit

Ransomware

Là, c'est bien plus difficile.
Généralement, on a pas la main sur le pc ..., dans ce cas là, l'utilisation d'un LiveCD peut être utile.


Malheureusement, si le ransomware a crypté vos données, rien n'y fera et vous n'aurez aucune chance de les récupérer !
Certains éditeur de solution de sécurité arrivent à créer des outils de décryptage selon les version des ransomwares, ici par Kaspersky sur le ransomware Xorist (http://support.kaspersky.com/fr/faq/?qid=208280933)


Ressource et liens utiles :

Le blog de Xylitol (http://xylibox.blogspot.com/), beaucoup d'informations sur tous les types de rogues et ransomware. On y trouve aussi quelques codes de décryptage pour les ransomwares.
Celui de S!Ri (http://siri-urz.blogspot.com/), auteur de Smitfraudfix, même si son outil ne gère plus les rogues actuels, il étudie toujours ces menaces.
Plusieurs lien chez Malekal :
http://forum.malekal.com/est-que-les-rogues-scareware-t589.html
http://forum.malekal.com/rogues-scareware-programmes-douteux.html
http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/ un article sur un ransomware à la française
Le blog de Tigzy (http://tigzyrk.blogspot.com/) (auteur de Roguekiller)



Toujours infecté ? Une question avant de faire des manipulations ?

Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
http://forum.security-x.fr/desinfections/
Titre: Re : [Fiches-Malware] Rogue/Scareware et Ransomware
Posté par: igor51 le avril 30, 2012, 18:36:00
DrWeb a sorti un fix pour les versions renommant les fichiers en .locked http://forum.malekal.com/virus-locked-t37459.html#p29289

Explications dans ce post  http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/