Passer au contenu

Découverte d’un ransomware utilisant le réseau Tor

Kaspersky Lab a découvert un ransomware de cryptage – un type de programme malveillant qui crypte les données d’un utilisateur puis réclame une rançon pour en…

Kaspersky Lab a découvert un ransomware de cryptage – un type de programme malveillant qui crypte les données d’un utilisateur puis réclame une rançon pour en déverrouiller l’accès – utilisant un nouveau mode opératoire. Nommé « Onion » celui-ci se sert du réseau anonyme Tor (The Onion Router) pour dissimuler son caractère malveillant et empêcher de remonter jusqu’à ses auteurs. Des améliorations techniques apportées au malware en font l’un des « crypteurs » les plus élaborés à ce jour.

Le malware Onion est le successeur d’autres « crypteurs » connus comme CryptoLocker, CryptoDefence/CryptoWall, ACCDFISA ou encore GpCode. Il incarne un nouveau type de ransomware de cryptage qui utilise un mécanisme de compte à rebours pour menacer ses victimes et les contraindre à verser une somme en Bitcoins, en échange du décryptage de leurs données. Les cybercriminels affirment ainsi qu’il ne reste qu’un délai de 72 heures pour payer, faute de quoi tous les fichiers seront perdus à jamais (ou revendus).

Pour transférer des informations secrètes et des coordonnées de paiement, Onion communique avec des serveurs de commande et de contrôle (C&C) situés quelque part sur le réseau anonyme. Précédemment, les chercheurs de Kaspersky Lab ont déjà rencontré ce type d’architecture de communication, mais uniquement employée par quelques familles de malwares bancaires, à l’exemple de ZeuS 64 bits renforcé avec Tor. Pour atteindre un terminal, le malware Onion passe tout d’abord par le botnet Andromeda (Backdoor.Win32.Androm). Ce dernier reçoit alors l’ordre de télécharger et d’exécuter, sur le terminal infecté, un autre programme malveillant de la famille Joleee. Cet autre malware télécharge à son tour Onion sur l’appareil en question.

Le meilleur moyen d’assurer la sécurité des données critiques est d’en effectuer régulièrement des sauvegardes, et ce, sur un périphérique de stockage qui n’est accessible que pendant la durée de l’opération.

onion3_FS_final_eng_2_sm

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

12 commentaires
  1. Je serais pas étonné que le commanditaire de ce ransomware soit une filliale masquée de Kaspersky Lab lui même. C’est bien connu que les virus sont leurs gagne pain. Moi j’ai plus de problème depuis que j’ai internet sécurity essential et surtout depuis que je fais très attention à mon OS (installation d’appli de confiance, tout ça…).

  2. @Joebiwan : nope, en fait la seule chose que ce virus fait en plus, c’est qu’au lieu de communiquer directement avec le serveur des pirates, la communication transite par le réseau tor, ce qui rendra plus difficile l’identification du serveur des pirates.

    Donc j’ai l’impression que ce nouveau virus n’innove pas tellement par rapport aux précédents. Je suis même étonné que les précédents virus ne disposaient pas de systèmes de ce genre.

    Quand on est dans ce genre d’activités, le premier réflexe devrait être de protéger ses fesses non?

  3. @Ced, Kaspersky ne dit pas qu’ils savent empêcher ce virus d’agir, ou même qu’il faut leur antivirus, ni quoi que ce soit, c’est juste de l’information.
    La seule vrai protection ou faille est entre la chaise et le clavier, c’est bien connu.

  4. A la vue du nom du backdoor (Backdoor.Win32.Androm), est-ce un malware n’affectant que les machines Windows? Ca serait sympa de le préciser dans l’article

  5. @Ced, oui et Valdimir Poutine l’a commandité pour financer les rebelles en Crimée.

    @arthug, effectivement plutôt que d’ouvrir les yeux, de réfléchir ou de se renseigner, non, non je clique, je clique, je clique !!
    Ou ça refuse de faire les MAJ de sécurité il y en a aussi.

  6. une fois de plus à tous ceux qui crachent sur la sauvegarde sur de VRAI DVD ou Blueray, n’ont que leurs yeux pour pleurer.
    chez moi tous mes fichiers sont sauegardés :
    -sur 2 DVD identiques et pas au même lieu
    -sur plusieurs disques durs identiques, SATA, et pas connectés en permanance
    -et quand possible, … sur cartes SD (les prix baissent)
    .
    ( et pour rappel un disque dur n’a pas besoin de “l’aide” des cyber criminels pour lacher au mauvais moment… )

  7. @cslevine: Je me suis toujours demandé comment les gens qui faisaient autant de sauvegardes avaient le temps et l’argent pour le faire…
    Pour certaines données (comptabilité, bulletins de salaires…) je comprends, surtout en entreprise, mais dans le cadre perso j’ai du mal a imaginer quelqu’un prendre deux heures par mois pour graver ses disques, faire ses copies sur plusieurs disques durs (à au moins 50€ unité, le budget doit être élevé !)… Un TOC de l’informatique ?

  8. Bonjour a tous
    bon je n’y connais rien
    je voulais juste savoir si en tant qu’utilisatrice lambda je pouvais craindre ce genre de pratique et perdre mes données perso (en particulier mais 1To de photos) ????

  9. @alice63

    Si tu ne stockes pas tes données sur au moins 2 supports différents, tu risques de perdre tes données à tout moment. En effet un disque dur ou un autre support de stockage (clé USB, etc..) peut rendre l’âme instantanément sans prévenir.
    L’idéal est donc au minimum de stocker ses données sur 2 supports différents voir même dans 2 endroits différents en cas de cambriolage ou incendie.

  10. Dropbox est suffisant selon moi. En plus, on conserve des différentes versions des fichiers, et ce, sur leur serveur. Il suffit d’encrypter ses données critiques et d’utiliser un outils fiable comme Dropbox et/ou Google Drive.

  11. Suis-je le seul a être choqué par la présence des mots “cryptage” et “crypté” dans un article relatant de la sécurité informatique ? Je dis ça, je dis rien.

Les commentaires sont fermés.

Mode