Sécurité IT : CTB-Locker repart en campagne avec Windows 10

La menace CTB-Locker se fait plus pressante avec le lancement mondial de Windows 10.

Ce malware, qui entre dans la catégorie des rançongiciels, est actuellement diffusé par le biais d’un e-mail semblant provenir de Microsoft.

Sauf que ce message n’a rien de légitime. Mais il est tentant d’ouvrir la pièce jointe qu’il contient. Et pour cause : il s’agirait d’un installeur permettant aux utilisateurs de Windows 7 ou Windows 8.1 de basculer vers Windows 10. Idéal, à première vue, pour ceux qui n’ont pas encore pu accéder au téléchargement du nouvel OS, généralement parce qu’ils sont placés en liste d’attente.

L’e-mail en question est travaillé. Les pirates ont notamment fait en sorte que l’adresse update(at)microsoft.com apparaisse dans le champ « expéditeur ». Alors qu’en fait, le serveur d’envoi est situé en Thaïlande, selon l’en-tête du message.

Outre une charte graphique « à la Microsoft » avec une forte dominante de bleu, on relèvera cet avertissement selon lequel la pièce jointe – un fichier .zip nommé Win10Installer – a été analysée par un antivirus… et qu’elle est considérée sans danger. Pour plus d’effet, un lien hypertexte pointe vers l’outil open source MailScanner.

Les équipes Talos de Cisco, qui ont décortiqué cette campagne de phishing, ont détecté plusieurs anomalies qui devraient mettre la puce à l’oreille des utilisateurs. Ainsi certains caractères (en particulier les apostrophes et les tirets) sont-ils mal rendus dans les navigateurs Web, aussi bien en Europe qu’aux États-Unis.

Après l’extraction de l’archive .zip, l’engrenage est lancé. Les fichiers localisés sur le disque interne de la machine infectée sont chiffrés avec un système de clés asymétriques qui les rend très difficilement déchiffrables. CTB-Locker s’attaque aussi aux supports externes et aux lecteurs réseau.

La bourse ou tant pis

Sur le principe même du rançongiciel, les victimes doivent verser de l’argent en échange de la clé qui permet le déchiffrement.

La seule devise acceptée est le bitcoin, décentralisé, chiffré… et surtout relativement anonyme. Sur ce point, on peut aussi noter le recours à Tor et à plusieurs autres réseaux destinés à compliquer la tâche des autorités qui tenteraient de localiser les serveurs utilisés par le malware.

De nombreuses variantes de CTB-Locker circulent sur les réseaux informatiques. Elles sont propagées non seulement par des e-mails généralement personnalisés au maximum grâce à des informations récupérées par social engineering, mais aussi à travers diverses failles logicielles.

L’échantillon étudié par Cisco présente cette particularité d’offrir aux victimes un délai de décision assez court : 96 heures, au-delà desquelles les données devront être considérées comme définitivement perdues.

Autre différence relevée : l’exploitation d’un algorithme de chiffrement qui consomme moins de ressources côté serveur. Pour le reste, le malware utilise essentiellement des ports associés au protocole Tor. Ainsi que le port 21, souvent autorisé car lié à des usages FTP.

CTB-Locker ne se loge pas toujours directement dans la pièce jointe. Cette dernière peut abriter une simple commande de redirection vers le téléchargement d’un exécutable malveillant.

Dans tous les cas, pour s’en protéger, il convient de réaliser régulièrement des copies de sauvegarde et de les isoler du réseau. Tout en s’assurant que logiciels et système d’exploitation soient à jour avec les derniers correctifs de sécurité.

Il existe au moins une solution pour retrouver des données : utiliser les points de restauration système si la fonctionnalité était activée avant l’infection. La récupération peut s’effectuer fichier par fichier (en restaurant d’anciennes versions dans le menu des propriétés) ou s’appliquer à des dossiers en passant par le programme Shadow Explorer. Il faut procéder avec minutie : si l’on supprime CTB-Locker, il devient presque impossible de retrouver l’accès aux fichiers.

Crédit photo : Sergey Nivens – Shutterstock.com