Vous utilisez un navigateur obsolète !
L'affichage de la page peut être incorrect.
le 3 juillet 2017
L'événement le plus marquant du mois de juin 2017 est sans surprise l'épidémie causée par le ver-ransomware Trojan.Encoder.12544 également nommé Petya, Petya.A, ExPetya et WannaCry-2. Les chercheurs de Doctor Web ont publié le fruit de leur recherche approfondie sur ce malware. Au début du mois de juin, les analystes de Doctor Web également ont examiné deux programmes malveillants ciblant l'OS Linux. L’un d’eux installe sur le périphérique contaminé une application pour l’extraction de crypto-monnaie, l'autre démarre un serveur proxy. A la mi-juin, c’est un Trojan miner ciblant Windows qui a été détecté. Enfin, Android reste une cible convoitée par les crybercriminels.
Les tendances principales du mois de juin
La matinée du 27 juin a été marquée par les premiers rapports sur la propagation du ransomware Petya, Petya.A, ExPetya et WannaCry-2. Les analystes de Doctor Web l'ont appelé Trojan.Encoder.12544. En réalité, ce malware n'a que peu de points communs avec le Trojan Petya (Trojan.Ransom.369): seule la procédure de chiffrement de fichiers est similaire. Le Trojan infecte les ordinateurs via les mêmes vulnérabilités que celles exploitées par les pirates afin de propager le Trojan WannaCry Trojan.Encoder.12544 obtient une liste des utilisateurs locaux et des utilisateurs de domaines autorisés sur l’ordinateur infecté. Puis il recherche des dossiers partagés disponibles, tente de les ouvrir en utilisant les données d'authentification obtenues et d'y enregistrer sa propre copie. Certains chercheurs ont affirmé qu'il suffisait de créer dans le dossier Windows un fichier perfc pour empêcher le lancement du ransomware, mais les chercheurs de Doctor Web ne souscrivent pas à cette solution. En effet, le ver contrôle son redémarrage selon la présence dans le dossier système d'un fichier dont le nom correspond à celui du Trojan mais sans extension. Néanmoins, il suffit aux attaquants de renommer le fichier malveillant, et la présence du fichier perfc dans le dossier C:\ Windows (comme certains éditeurs antivirus le suggèrent) ne sauvera pas l’ordinateur de l’infection. Il est à noter que le Trojan vérifie la présence du fichier uniquement s'il possède suffisamment de privilèges pour cela dans l'OS.
Trojan.Encoder.12544 endommage le VBR (Volume Boot Record) Windows, il copie l'enregistrement d'amorçage original dans un autre secteur du disque, mais avant de le copier, il le chiffre en utilisant l'algorithme XOR et le remplace par son propre enregistrement d'amorçage. Puis il crée une tâche de redémarrage et commence à chiffrer les fichiers trouvés sur les disques locaux physiques de l'ordinateur. Après le redémarrage, il affiche à l’écran de la machine contaminée un texte qui ressemble au message de l'utilitaire standard CHDISK.
Dans le même temps, il chiffre le MFT (Master File Table). Dès que le chiffrement est terminé, Trojan.Encoder.12544 affiche la demande de rançon.
Les analystes de Doctor Web estiment que a été initialement conçu, non pas pour obtenir une rançon, mais pour endommager les ordinateurs infectés :le ma premièrement, les auteurs de virus ont utilisé une seule boîte aux lettre qui a été bloquée peu de temps après le début de l'épidémie. Deuxièmement, la clé affichée à l'écran de l'ordinateur contaminé représente un jeu de caractères aléatoire et n'a rien à voir avec la clé de chiffrement réelle. Troisièmement, la clé transmise aux attaquants n'a rien à voir avec la clé utilisée pour chiffrer la table d'allocation des fichiers, donc les auteurs de virus ne sont pas en mesure de fournir à leur victime une clé de déchiffrement du disque. Pour en savoir plus sur les principes de fonctionnement du Trojan.Encoder.12544,vous pouvez consulter notre article ou une description technique.
La source initiale de propagation du Trojan est le système de mises à jour du logiciel MEDoc qui est un outil de comptabilité fiscale populaire en Ukraine. Ce schéma de diffusion de malware est déjà connu des spécialistes de Doctor Web. En 2012, ils ont identifié une attaque ciblée sur le réseau russe des pharmacies et laboratoires pharmaceutiques à l’aide du programme espion BackDoor.Dande. Ce Trojan espion volait des informations sur les achats de médicaments aux logiciels spécialisés utilisés dans l’industrie pharmaceutique. Le Trojan avait été téléchargé du site http://ws.eprica.ru, appartenant à la société «Spargo technology» et était destiné à mettre à jour le logiciel ePrica conçu pour surveiller les prix des médicaments. Pour plus d'informations sur cet incident, consultez la news, pour plus de détails concernant l'enquête, merci de prendre connaissance de la description technique.
Au mois de juin, le Support technique de Doctor Web a reçu de nombreuses requêtes d’utilisateurs touchés par les modifications suivantes des Trojans Encoders:
Dr.Web Security Space pour Windows protège contre les ransomwares Au cours du mois de juin 2017, la base de sites non recommandés par Dr.Web s’est enrichie de 229 381 adresses Internet.
Mai 2017 Juin 2017 Evolution + 1 129 277 + 229 381 - 79.68%Mai 2017 | Juin 2017 | Evolution |
---|---|---|
+ 1 129 277 | + 229 381 | - 79.68% |
Au début du mois, les analystes de Doctor Web ont examiné deux Trojans ciblant l'OS Linux. Linux.MulDrop.14 attaque uniquement les mini-ordinateurs Raspberry Pi. Ce Trojan représente un script dans le corps duquel est stockée une application miner sous forme compressée et chiffrée et qui est destinée à extraire de la crypto-monnaie. Le deuxième Trojan ajouté aux bases de données virales sous le nom de Linux.ProxyM est connu depuis le mois de février 2017, mais ses attaques ont atteint un pic à la mi-juin. L'évolution de l'intensité des attaques menées par Linux.ProxyM. et enregistrée par les analystes de Doctor Web est présentée dans l'illustration ci-dessous.
Une partie importante des adresses IP d'où les attaques sont lancées se trouve sur le territoire de la Russie. Viennent ensuite la Chine puis Taïwan. L’illustration suivante montre les origines géographiques des attaques utilisant Linux.ProxyM.
Pour plus d'information sur ces deux programmes malveillants, consultez l'article publié sur notre site.
Les programmes malveillants qui utilisent les ressources de calcul des ordinateurs pour l’extraction (mining) de crypto-monnaie sont apparus peu après la création de la crypto-monnaie. La signature du premier Trojan de la famille Trojan.BtcMine avait été ajoutée aux bases virales Dr.Web dès 2011. Le Trojan.BtcMine.1259 détecté au mois de juin est un représentant de cette famille de malwares. Trojan.BtcMine.1259 a été conçu pour l’extraction de la crypto-monnaie Monero (XRM). Le miner est téléchargé sur l'ordinateur par le malware Trojan.DownLoader24.64313 qui, à son tour, est propagé à l'aide du backdoor DoublePulsar.
A part sa fonction principale, Trojan.BtcMine.1259 déchiffre et télécharge en mémoire une bibliothèque stockée dans son corps. Cette bibliothèque est une version modifiée du système d’administration distante open source connue sous le nom de Gh0st RAT (l'antivirus Dr.Web la détecte comme BackDoor.Farfli.96) En utilisant cette bibliothèque, les pirates peuvent gérer l'ordinateur contaminé et y exécuter différentes commandes. Le module qui extrait de la crypto-monnaie Monero (XMR) est capable de charger avec des calculs jusqu'à 80% des ressources de la machine contaminée. Le Trojan comporte les versions 32x et 64x du miner. En fonction de l'OS de l'ordinateur contaminé, l’une ou l’autre version est utilisée. Pour en savoir plus sur les principes de fonctionnement de ce Trojan, consultez l'aperçu publié sur notre site.
Au mois de juin, les analystes de Doctor Web ont détecté le Trojan Android.Spy.377.origin, qui a attaqué les utilisateurs d'appareils mobiles en Iran. Ce malware transmettait aux criminels des informations confidentielles et pouvait exécuter leurs commandes. Egalement au mois de juin, les spécialistes de Doctor Web ont détecté sur Google Play des programmes potentiellement dangereux conçus pour assurer la connexion aux réseaux sociaux VKontakte et Odnoklassniki qui ont été bloqués en Ukraine. Ces applications ajoutées à la base de données virales Dr.Web sous le nom de Program.PWS.1 utilisaient un serveur anonymizer afin de contourner les restrictions d'accès aux réaseaux sociaux sans assurer la protection des données transmises.
De plus, au mois de juin, les Trojans Android.SmsSend.1907.origin et Android.SmsSend.1908.origin ont été diffusés sur Google Play. Ces Trojans envoyaient des SMS vers des numéros payants et abonnaient les utilisateurs à des services onéreux. La base de données virale s'est également enrichie d’entrées correspondant aux Trojans de la famille Android Dvmap. Ces applications malveillantes tentaient d'obtenir un accès root, infectaient des bibliothèques système, installaient des composants supplémentaires et pouvaient télécharger et lancer des logiciels sur commande des pirates et à l'insu des utilisateurs.
Un autre Trojan ciblant Android et détecté au mois de juin a reçu le nom Android.Encoder.3.origin. Il ciblait les utilisateurs chinois et après avoir contaminé l'appareil mobile, il chiffrait les fichiers sur la carte SD en demandant une rançon pour leur restauration.
Les événements les plus importants du mois de juin relatifs à la sécurité des mobiles sont les suivants:
Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles, consultez notre aperçu.