OphionLocker, Un Nouveau Ransomware utilise la Courbe Elliptique pour le Chiffrement, Tor pour la Communication et le Malvertising pour la Propagation

Table des Matières

• Le Ransomware OphionLocker utilise la Courbe Elliptique pour le Chiffrement, Tor pour la Communication et le Malvertising pour la Propagation
• Cryptographie à Courbe Elliptique
• Fonctionnement
• Les Ransomwares deviennent de plus en plus obstinés

Le Ransomware OphionLocker utilise la Courbe Elliptique pour le Chiffrement, Tor pour la Communication et le Malvertising pour la Propagation

Une nouvelle variété de Ransomware a été découverte par les chercheurs de Trojan7Malware. Nommé OphionLocker, ce Ransomware est très unique en ce sens qu’il utilise la cryptographie à courbe elliptique pour le chiffrement des fichiers, et Tor pour la communication. Une autre signature unique d’OphionLocker est qu’il utilise des campagnes de malvertising pour se propager plutôt que des méthodes traditionnelles de spear phishing.

Cryptographie à Courbe Elliptique

La cryptographie à courbe elliptique (ECC) est une cryptographie à clé publique basée sur la structure algébrique des courbes elliptiques sur des corps finis. L’un des principaux avantages de la cryptographie ECC est qu’elle fournit le même niveau de chiffrement avec une taille de clé plus petite.

Cette forme algébrique de chiffrement est basée sur la résolution du logarithme discret d’un élément aléatoire de courbe elliptique. Cela, comme l’idée plus familière de factoriser le produit de deux très grands nombres premiers, offre une fonction unidirectionnelle pour soutenir la sécurité des systèmes de cryptographie à clé publique. L’ECC offre des niveaux de sécurité équivalents avec des tailles de clé plus petites, un avantage particulier sur les systèmes avec une puissance de calcul limitée, tels que les smartphones.

Fonctionnement

Une fois qu’une victime potentielle a téléchargé le malware en visitant un site Web servant le code de malvertising, il chiffre les fichiers disponibles et utilise ensuite une URL Tor2web pour naviguer vers une page d’instructions sur la façon de payer pour obtenir l’outil de déchiffrement. Les attaquants exigent un paiement d’un Bitcoin pour l’outil de déchiffrement, ce qui équivaut à 350 $ selon les taux de change d’aujourd’hui. Cependant, le prix de l’outil de déchiffrement peut changer selon la géolocalisation de la victime. Trojan7Malware a donné le modèle de chiffrement de fichiers suivant de ce Ransomware qui est similaire aux types de fichiers chiffrés par CryptoLocker et TorLocker.

Extensions chiffrées ;
“accdb”,0,”.ai”,0,”.arw”,0,”.bay”,0,”.blend”,0,”.cdr”,0,”.cer”,0,”.cr2″,0,”.crt”,0,”.crw”,0,”.dbf”,0,”.dcr”,0,”.der”,0,”

.dng”,0,”.doc”,0,”.docm”,0,”.docx”,0,”.dwg”,0,”.dxf”,0,”.dxg”,0,”.eps”,0,”.erf”,0,”.indd”,0,”.jpe”,0,”.jpg”,0,”.jpeg”,0,”

.kdc”,0,”.mdb”,0,”.mdf”,0,”.mef”,0,”.mrw”,0,”.nef”,0,”.nrw”,0,”.odb”,0,”.odm”,0,”.odp”,0,”.ods”,0,”.odt”,0,”.orf”,0,”

.p12″,0,”.p7b”,0,”.p7c”,0,”.pdd”,0,”.pdf”,0,”.pef”,0,”.pem”,0,”.pfx”,0,”.ppt”,0,”.pptm”,0,”.pptx”,0,”.psd”,0,”.pst”,0,”

.ptx”,0,”.r3d”,0,”.raf”,0,”.raw”,0,”.rtf”,0,”.rw2″,0,”.rwl”,0,”.srf”,0,”.srw”,0,”.wb2″,0,”.wpd”,0,”.wps”,0,”.xlk”,0,”

.xls”,0,”.xlsb”,0,”.xlsm”,0,”.xlsx”,0,0″

Un aspect intéressant de ce Ransomware est qu’il essaie d’être conscient de l’environnement dans lequel il fonctionne. Si le malware détecte un environnement virtuel, il ne demandera aucun paiement. Les environnements virtuels sont généralement utilisés par les chercheurs en sécurité contre des malwares comme celui-ci.

Une autre caractéristique unique de ce malware est qu’il génère un numéro HWID (Identification Matérielle) pour s’assurer qu’un seul échantillon peut être généré par PC.

Les auteurs/gestionnaires de ce malware semblent utiliser ces techniques pour cacher le Ransomware aussi longtemps que possible aux chercheurs en sécurité et aussi pour mettre sur liste noire tout PC qu’ils jugent compromis par les chercheurs en sécurité.

OphionLocker est plus mortel que les précédents avatars de ransomware car il n’a pas besoin de connectivité Internet ou d’interaction de l’utilisateur pour commencer le chiffrement. Cela est dû au fait qu’une clé publique est déjà présente dans la charge utile téléchargée par la victime. Cela rend plus difficile la détection ou la prévention de l’infection.

Les Ransomwares deviennent de plus en plus obstinés

La propagation et la férocité de ces Ransomwares et des gestionnaires/attaquants/auteurs semblent s’améliorer et devenir plus audacieuses, utilisant des techniques de chiffrement de plus en plus compliquées. Malgré la mise hors service de CryptoLocker, le Ransomware reste une menace mortelle pour les utilisateurs. Les avancées dans les techniques adoptées par les auteurs de ce type de malware peuvent être remarquées dans OphionLocker qui utilise un chiffrement à clé plus petite avec la cryptographie à courbe elliptique et le réseau d’anonymat Tor pour la communication avec son serveur de commande et de contrôle.

Ressource : Trojan7Malware