Recherche sur le blog

jeudi 31 mars 2016

[Sécurité] Ransomware Petya

Hier, il était question de Locky, aujourd'hui on apprend l'apparition d'un nouveau ransomware, Petya. Celui-ci est un peu particulier parce qu'il va se loger dans le MBR, c'est-à-dire le Master Boot Record, là où se trouve la routine qui permet de charger le système d'exploitation. Il va également chiffrer la MFT (Master File Table) (voir sur Threat Post). Cette table contient toutes les informations sur les fichiers stockés sur les partitions.

La table des partitions semble altérée également. Une analyste de Malwarebytes (Hasherezade), également développeuse freelance, s'est penchée sur la question. D'après ce qu'elle nous dit, la table serait chiffrée à l'aide de XOR et le caractère ASCII "7". On avance, du moins on l'espère.

    
De nouveau il se répand par courrier électronique. On appelle ça le Spear phishing dans ce cas précis. Les messages sont ciblés car l'attaquant prend le temps de rassembler des informations relativement confidentielles (par exemple depuis les réseaux sociaux). Jusqu'à présent on a recensé des attaques avec des mails rédigés en allemand. Ceux-ci contiennent un lien pour télécharger un soi-disant CV via Dropbox.

Et en plus, c'est un exécutable qui va agir directement... Une fois lancé, celui-ci force le redémarrage de Windows et affiche un écran indiquant que votre disque est en cours de vérification. Comprenez par là que ce n'est pas le cas... Les secteurs ne sont en aucun cas réparé.


Le malware choisit simplement de s'installer durant cette prétendue procédure d'analyse du disque dur. La suite est bien moins drôle puisque vous aurez droit à un très bel écran représentant une tête de mort. Ce message est alors affiché : "Press any key". Appuyez sur une touche pour découvrir ce qui vous attend.


Petya indique alors avoir chiffré les fichiers. Il semblerait qu'il soit tout de même possible de récupérer ceux-ci en parcourant le disque depuis un autre OS... A vérifier ! La somme réclamée par le malware est de 0,99 Bitcoin d'après Korben, soit plus ou moins 366 €. Comme d'habitude il est fortement déconseillé de payer car il n'est pas certain de recevoir la clé après le paiement.


Si on ouvre le site web depuis un navigateur internet, on tombe sur cette page :

         
Désinfection

Pour se débarrasser du malware, il faudra réparer le MBR et réinstaller/réparer le système d'exploitation. Il y a un guide à consulter sur le site de Mobile Security. Ce dernier détaille la marche à suivre. En résumé 3 commandes sont à exécuter depuis l'outil de réparation système, avant d'effectuer une quelconque restauration.
bootrec / fixmbr 
bootrec / fixboot 
bootrec / rebuildbcd
Détection 

Trend Micro a déjà été mis à jour pour détecter le malware comme RANSOM_PETYA.A. D'autres antivirus le détectent (liste non exhaustive, source : Virus Total) :
  • Win32:Malware-gen (Avast)
  • TR/Crypt.Xpack.jvzj   (Avira)
  • Trojan.Ransom.Petya.C (Bitdefender)
  • Trojan-Ransom.Win32.Petr.a (Kaspersky)
  • Ransom-Petya (McAfee, Malwarebytes)
  • Ransom:Win32/Petya.A (Microsoft)
                  
Signatures

Trend Micro donne les signatures SHA-1 des fichiers.

SHA1s for related files:
  • 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  • B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  • 755f2652638f87ab517c608a363c4aefb9dd6a5a
MD5 :
  • af2379cc4d607a45ac44d62135fb7015
  • a2d6887d8a7b09b86a917a5c61674ab4
  • f636b3471c9fda3686735223dbb0b2bd
L'éditeur de la suite antivirus indique également que Dropbox a déjà réagi en supprimant les fichiers infectés. C'est plutôt une bonne nouvelle ! Mais cela est certainement loin d'être terminé.

Sources

Korben
Malekal 
Trend Micro 

Voir aussi

Restauration du MBR sous Windows 7 
Recovery Mode sous Windows 8 et 8.1

mercredi 30 mars 2016

[Sécurité] JS/Locky.Q!Eldorado

Les CryptoLocker, ces fameux ransomware qui chiffrent vos documents, circulent énormément, que ce soit par l'intermédiaire de pages infectées ou par e-mail. Un collègue a reçu une menace par courrier électronique : le message a réussi à passer le scan antivirus de Kaspersky, intégré à l'antispam MDaemon. 


En guise de fausse facture, une pièce jointe au format ZIP avec un nom accrocheur. Peut-être avez vous récemment réservé un voyage à l'étranger, ce qui peut vous laisser croire qu'on vous transmet une facture. Mais ce n'est pas le cas. En fait, après analyse par Virus Total, il apparait que le fichier contient un trojan du nom de JS/Locky.Q!Eldorado. Il semblerait d'ailleurs que la signature de cette variante ne soit pas encore connue de tous les antivirus puisque le résultat ne donne que 5 détections positives.


D'après le site Malekal, le malware Locky était d'abord distribué sous forme d'un document Microsoft Office. Il suffisait que les macros soient actives pour que l'infection commence à se répandre sur la machine. Des variantes en JavaScript ont ensuite vu le jour aux alentours du 16 février 2016. Il est actuellement très actif en France, et certains n'hésitent pas à raconter leur mésaventure.

Lorsqu'il est exécuté sur votre ordinateur, vous devriez voir ceci en guise de fond d'écran, sur votre bureau :


D'après Malekal toujours, les documents de l'ordinateur vont alors être chiffrés et l'extension modifiée en .locky. Le ransomware va aussi chercher à chiffrer les documents sur les disques amovibles (clés USB, HDD externe) mais aussi sur les partages réseaux. Un fichier _Locky_recover_instructions.txt contenant les instructions de paiement, est créé sur le bureau.

    
Les instructions mentionnent une page web sur laquelle on va pouvoir effectuer un paiement en Bitcoin. Celle-ci explique la procédure de A à Z : comment se procurer cette monnaie virtuelle, à quelle adresse faut-il l'envoyer. La page est disponible dans plusieurs langues : portugais, espagnol, suédois, etc. Plus de 20 choix sont disponibles.

Désinfection

Le ransomware ne semble pas persistant,il ne semble donc pas s'installer dans les programmes chargés au démarrage. Il est tout de même recommandé de démarrer en mode sans échec puis d'exécuter une analyse antivirus (avec Malwarebytes Anti-Malware par exemple).

Détection

Il s'agit d'une liste non exhaustive des signatures connues :
  • TrojanDropper:JS/Swabfex (Microsoft)
  • TrojanDropper:JS/Nemucod (Microsoft)
  • JS:Agent-DTI (Avast)
  • JS/Locky.Q!Eldorado.
A mettre à jour autant que possible.
                      
Déchiffrer les documents

Pour le moment il n'existe aucun utilitaire pour effectuer cette opération. Sachez tout de même que Kaspersky met à disposition des utilitaires pour récupérer les fichiers qui auraient été chiffrés par un autre ransomware du genre (ex : Rakhni, Scatter, Rector). Qui sait, peut-être qu'un éditeur d'antivirus parviendra à fournir un outil pour récupérer les fichiers après une infection par Locky.

Éviter l'exécution de scripts

Pour éviter l'infection par un script, le site recommande de :
  • Désactiver Windows Script Host. Pour cela il faut modifier des valeurs dans le registre.
  • Modifier l'association des fichiers ".js" pour qu'ils s'ouvrent avec le bloc-notes (mode paranoïaque).
Pour désactiver WSH :
  • Ouvrez la base de registre (menu démarrer, exécuter -> regedit).
  • Développez l'arborescence jusqu'à vous positionner dans "HKLM\Software\Microsoft\Windows Script Host\Settings". 
  • Ajoutez les paramètres (clic droit - Nouveau - valeur Chaine) : 
    • Nom = Enabled, valeur = 0
    • Nom = IgnoreUserSettings, valeur = 1
    • Nom = LogSecurityFailures, valeur = 1
  • Effectuez la même opération pour la clé qui se trouve cette fois dans HKCU (HKEY_CURRENT_USER). Seul le paramètre "Enabled" doit être spécifié cette fois.
Sinon, vous pouvez également le texte suivant dans un bloc-notes et enregistrer le fichier en lui collant simplement l'extension ".reg" au lieu de ".txt" (alternative : téléchargez le fichier à l'aide d'un clic droit sur ce lien, option "Enregistrer la cible sous...").
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings]
"Enabled"="0"
"IgnoreUserSettings"="1"
"LogSecurityFailures"="1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Enabled"="0"
Double-cliquez sur le fichier, et répondez Oui quand Windows vous demande s'il faut vraiment ajouter ces données à la base de registre. Une fois l'opération terminée vous recevez une confirmation sous forme d'une boite de dialogue.

Prévention

Le site Hoaxbuster signale dans un article que l'éditeur Bitdefender propose désormais un utilitaire de vaccination, à télécharger ici. Il s'agit d'une version mini du module déjà présent dans la version complète de l'antivirus du même nom. Cet outil va permettre de détecter les exécutables qui tentent d'effectuer une modification de vos documents.

Il n'est pas non plus exclu :
  • De désactiver l'exécution de macros dans les utilitaires Microsoft Office.
  • D'effectuer les mises à jour des logiciels comme Office, Java ou Adobe Reader, pour lesquels on détecte régulièrement des failles de sécurité.
  • D'effectuer une sauvegarde régulière de vos fichiers.
        
Variantes et méthode de distribution

D'autres variantes continuent à se répandre au fur et à mesure et sont toujours plus difficiles à détecter. Ce qui change souvent, c'est le contenu et l'émetteur de l'e-mail qui est envoyé à l'utilisateur.

Il existe aussi un malware du nom de Dridex, sauf que lui ne cherche pas à chiffrer les données sur votre ordinateur. En fait, c'est sa méthode de "distribution" qui est similaire. Il s'agit aussi de fichiers que l'on reçoit généralement par e-mail, et qui contiennent des macros Word ou Excel. Ils sont reconnus en tant que TrojanDownloader:W97M, ou encore W97M/Generic. Une fois les macros actives et exécutées, cela lance le téléchargement et l'installation de logiciels espions destinés à collecter les données personnelles (informations bancaires, mots de passe, etc). 

Sources

Hoaxbuster
Malekal
Nouvel Obs

jeudi 24 mars 2016

[Mémo] Nettoyage de WSUS

En regardant de plus près votre serveur Windows Update Services, vous constatez que le dossier WSUSContent prend beaucoup d'espace sur votre disque. Avant de procéder au nettoyage il faut évidemment vérifier quelques paramètres.

Configuration

Ouvrez la console puis rendez-vous dans les Options. 2 éléments sont à vérifier : tout d'abord les produits et classifications pour lesquels vous souhaitez obtenir les mises à jour. En entreprise on recommande de ne sélectionner que les systèmes d'exploitation clients ainsi que les logiciels Microsoft divers (ex : Office). Les serveurs en production seront gérés manuellement afin de contrôler plus finement ce qui est installé ou non.


Un deuxième point à vérifier : les fichiers et langues. D'abord dans l'onglet "Fichiers de mises à jour", il est préférable de :
  • Choisir "Stocker les fichiers de mises à jour localement sur ce serveur".
  • Cocher "Télécharger les fichiers sur ce serveur dès que les mises à jour sont approuvées".
  • Décocher "Télécharger les fichiers d'installation rapide" qui prennent plus d'espace.

Ensuite, on peut vérifier, dans le deuxième onglet, les langues qui seront prises en charge. Tout dépend bien entendu de la langue / des langues de vos systèmes d'exploitation, logiciels Office, etc. La plupart du temps on en sélectionne qu'une seule. Plus il y a de langues à traiter et plus l'espace utilisé sera important.

Enfin, de retour dans les options, vous pouvez vérifier les règles d'approbation automatique, afin d'éviter d'accepter n'importe quel type de mise à jour. Souvent ce qui est intéressant, c'est d'accepter automatiquement les mises à jour critiques ou de sécurité pour les systèmes et logiciels Microsoft. Tout dépend bien sûr de la manière dont vous gérez votre infrastructure.

Refuser les mises à jour approuvées

Il va falloir maintenant refuser les mises à jour qui avaient déjà été approuvées, et pour lesquelles vous souhaitez supprimer le contenu sur disque. En cas d'approbation automatique, certaines pourraient revenir, donc pensez-bien à vérifier vos paramètres.

Nettoyage

Une fois que c'est fait, toujours dans les Options, lancer l'Assistant de nettoyage du serveur. Cochez tous les éléments, appuyez sur Suivant puis attendez le résultat. Cela peut prendre quelques minutes en fonction du nombre d'éléments à nettoyer.

Réinitialiser le contenu du dossier WSUSContent

Une autre méthode consiste à nettoyer entièrement le dossier contenant les fichiers de mise à jour. Il est souvent situé sur C:\WSUS\WSUSContent. Celui-ci peut bien sûr se trouver à un autre endroit sur le serveur.
  • Ouvrez la console services.msc, arrêtez le service Update Services.
  • Supprimez le contenu du dossier WSUSContent.
  • Relancez le service.
  • A l'aide d'une ligne de commande, placez-vous dans : C:\Program Files\Update Services\Tools.
  • Exécutez la commande suivante : WSUSUtil.exe RESET.
  • Cette commande vérifiera dans la base de données WSUS pour voir quelles mises à jour doivent être téléchargées ou non, et procédera au téléchargement des fichiers nécessaires s'il constate qu'ils ne sont plus présents ou s'ils sont simplement corrompus. 
Pour savoir si le traitement est terminé, consultez le journal ici : C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log. Lorsque c'est fini, le message suivant est inscrit :

WsusService.13  ExecutionContext.runTryCode     State Machine Reset Agent Finished
 
Sources

Blogs Technet

mercredi 16 mars 2016

[WD21] Activation du Dump de débogage

Quand WinDev se casse lamentablement la poire en indiquant que l'application a cessé de fonctionner et que Windows recherche une solution, vous avez la possibilité d'activer la génération du "dump de débogage". Il ne restera alors qu'à essayer de reproduire le bug afin d'envoyer le fichier au support technique.


Ouvrez le menu Aide, ensuite cliquez sur "A propos de WINDEV".

  
Tout en maintenant la touche CTRL enfoncée, cliquez sur le logo de WD, qui se trouve juste à droite des informations de version. Une boite de dialogue apparait alors.


Cliquez sur le bouton "Activer pour 10 jours". Redémarrez ensuite l'EDI. Vous constaterez un changement au niveau des couleurs de l'interface pour vous indiquer que le débogage est actif. Essayez alors de reproduire votre bug ; si WD se plante, un fichier dump est alors généré dans C:\PCSOFTDUMP. Transmettez alors le fichier au support. Pour désactiver le mode de débogage, retournez dans la fenêtre "A propos", effectuez de nouveau un CTRL+Clic sur le logo, puis choisissez tout simplement "Désactiver". Relancez à nouveau pour que les changements soient effectifs.

Gardez à l'esprit que, malheureusement, PC SOFT n'interviendra pas si vous utilisez une version antérieure à celle qu'ils proposent en téléchargement / achat. En effet, une fois la nouvelle version sortie, il n'y a (presque) plus la possibilité de demander un patch correctif.

Notez enfin que l'astuce fonctionne pour toutes les versions (et les éditeurs), même si la façon d'accéder à la fenêtre "A propos" peut différer.