Ransomwares : les raffinements de CryptoWall 4.0, les erreurs de Power Worm

L'actualité sur les ransomwares, qui bloquent les données personnelles en exigeant une rançon, mélange les réussites techniques et les plantages imprévus. Ainsi, CryptoWall 4.0 se manifeste par quelques « raffinements » qui le rendent encore plus dangereux, tandis que Power Worm est si mal développé qu’il oublie la clé de chiffrement. 

La version 4.0 du ransomware CryptoWall franchit encore une nouvelle étape dans l’efficacité de la demande de rançon. Le concept reste le même : par l’exploitation d’une faille ou pièce jointe contaminée dans un email, l’utilisateur installe sans le savoir un logiciel qui va chiffrer ses données personnelles et ne les lui rendre que s’il paye une certaine somme d’argent. L’objectif de cette version 4.0 est clairement de verrouiller un peu plus les voies de recours afin que le paiement soit la seule option possible.

Même les noms de fichiers sont désormais chiffrés

C’est le site Bleeping Computer qui a détaillé en premier les modifications apportées à cette nouvelle mouture du malware. Le changement le plus significatif est qu’il peut maintenant chiffrer les noms eux-mêmes des fichiers. Pour quoi faire ? Tout simplement pour que l’utilisateur touché ne puisse même plus savoir de quel fichier il s’agissait avant. Il ne peut plus faire la différence entre des données cruciales et celles qui le sont moins, le laissant encore un peu plus désemparé.

Autre « fonctionnalité » ajoutée, toujours pour accentuer la sensation de blocage : la suppression des points de restauration. Rappelons que Windows en crée automatiquement un à chaque installation de logiciels, de pilotes ou de mises à jour. L’utilisateur doit normalement pouvoir revenir à un état fonctionnel si sa machine rencontre des difficultés, sans toucher aux données personnelles. Sans les points de restauration, il n’est donc pas possible de restaurer le dernier bon état connu.

Ne laisser aucune échappatoire

Plus difficile à repérer par les antivirus selon Heimdal Security, CryptoWall 4.0 va jusqu’à se moquer des personnes affectées, les félicitant de faire désormais « partie d’une grande communauté ». Un nouveau texte explicatif est fourni et s’ouvre dans le navigateur pour indiquer très clairement à l’utilisateur ce qui lui arrive. Il le prévient qu’il sera sans doute tenté d’aller sur Internet chercher des infos et suivre des conseils, mais que certaines actions ont plus de chances de lui faire perdre définitivement ses données qu’autre chose. Verrou numérique, étreinte psychologique.

L’attitude à adopter face aux ransomwares dépend très largement des cas. Pour le FBI, il est souvent préférable de payer, l’agence se basant sur certains constats : les sommes demandées sont de moins en moins importantes à cause de la multiplication des cas, et il en va du « business model » même de ce type de piratage de restaurer les données sous peine d’essuyer un refus systématique des utilisateurs touchés. Entre les mois de juin 2014 et 2015, 18 millions de dollars auraient ainsi été récupérés par les pirates pour les seuls États-Unis. En France, la ligne de conduite recommandée par StopRansomware reste de refuser tout paiement.

Power Worm ne restaure pas les fichiers, même quand il essaye réellement

Par ailleurs, si CryptoWall est clairement le ransomware le plus connu, il est très loin d’être le seul. Le succès de ce type d’action malveillante et des milliers de variantes ou de logiciels différents existent aujourd’hui. Mais CryptoWall reste une référence, tant par sa diffusion que par la « qualité » de son code. Et on ne peut clairement pas en dire autant de certaines autres créations qui provoquent de vraies catastrophes pour les données personnelles.

C’est le cas par exemple de Power Worm, qui mène une mission équivalente : chiffrer les données et exiger un paiement. Mais l’opération de chiffrement est beaucoup moins évoluée que celle de CryptoWall, qui utilise une clé différente pour chaque fichier. Ici, une seule clé sert à chiffrer toutes les données. Malheureusement, une erreur dans la conception du malware provoque une disparition de cette clé. Résultat, même si l’utilisateur paye, il ne pourra pas récupérer ses fichiers.

Selon le chercheur en sécurité Nathan Scott, l’erreur a été commise par le ou les développeurs en essayant de simplifier le code, notamment pour l’étape du déchiffrement. Ainsi, au lieu d’affecter un identifiant à chaque utilisateur, il utilise le même pour tous les comptes. Le script PowerShell qui devrait générer la clé renvoie donc un résultat vide et la clé générée est effacée après avoir été utilisée. Il ne reste donc pas grand-chose à faire d’autre que de réinstaller le système et de restaurer une éventuelle sauvegarde.