NewbieContest

News => News Hacking/Cracking/Phreaking => Discussion démarrée par: Stockage le 21 Décembre 2016 à 20:32:12



Titre: Ransomware - Popcorn Time
Posté par: Stockage le 21 Décembre 2016 à 20:32:12
Bonsoir tout le monde,

Aujourd'hui je vais vous parler d'un ransomware tout fraichement produit : Popcorn Time !

Pour rappel, un ransomware (https://fr.wikipedia.org/wiki/Ransomware) est un petit programme qui, à défaut de voler des données, va les chiffrer et demander à l'utilisateur de payer une rançon en échange de la clé de déchiffrement. Là où Popcorn Time n'est pas comme les autres, c'est qu'il laisse à l'utilisateur deux choix pour obtenir la clé : Soit il paye, soit il infecte deux autres victimes, autrement dit il file le bébé à ses potes ! Inutile de dire que le sens moral de la victime est mis à l'épreuve.

La rançon s'élevant à 1 bitcoin (environ 800€ actuellement, c'est pas rien), si l'utilisateur décide d'infecter deux autres victimes il devra attendre que ces derniers choisissent de payer ou de diffuser le programme avant de revoir ses fichiers. Ainsi le ransomware se diffusera de lui-même suivant le sens moral des utilisateurs infectés !

Autre petit détail, toutes tentatives pour décrypter les fichier sans la clé effaceraient définitivement tous les fichiers touchés. De plus, il n'y a que quatre tentatives pour la clé de déchiffrement, autant dire qu'il ne vaut mieux pas faire le malin ! ;)

Pour information, le groupe de pirates ayant créé ce ransomware serait d'origine syrienne. Ils précisent d'ailleurs que les fonds obtenu seront utilisés pour la médecine, la nourriture et la construction d'abris.

Plus d'information : Evil Ransom: Infect Two People, Receive Free Decryption Key (https://www.deepdotweb.com/2016/12/20/evil-ransom-infect-two-people-receive-free-decryption-key/)

Quelques liens supplémentaires :
  • Locky, le ransomware de l'année (http://korben.info/locky-quil-y-a-a-savoir-malware-moment.html)
  • No More Ransom : protégez-vous des ransomwares connus (https://www.nomoreransom.org/)
  • Une application pour leurrer les ransomwares (http://www.silicon.fr/ransomfree-application-leurre-ransomwares-165532.html)
  • Topic NC d'un membre ayant été infecté par locky (https://www.newbiecontest.org/forums/index.php?topic=4461.0)
  • Circl : Crypto Ransomware, comment s'en protéger (https://www.circl.lu/pub/tr-41/fr/)
  • Ransomware en entreprise, comment réagir (http://www.securityinsider-solucom.fr/2015/04/cert-solucom-retour-sur-lactualite-de_1.html)
  • Quelques statistique sur l'impact des locky (juillet 2016) (https://www.scmagazineuk.com/69-of-email-attacks-with-malicious-attachments-in-q2-contained-locky/article/531258/)
  • Un outil pour récupérer ses fichiers sans payer (à vérifier) (http://cipherfacts.com/index.php/2016/12/17/hit-by-ransomware-dont-pay-the-ransom-we-got-free-tools-for-you/)
  • Des hôtels infectés par un ransomware (http://thehackernews.com/2017/01/ransomware-hotel-smart-lock.html)
  • Analyse du ransomware Killdisk (https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-killdisk-ransomware-part-1-whitelisting/)
  • Tracker de ransomwares (https://ransomwaretracker.abuse.ch/)


Titre: Re : Ransomware - Popcorn Time
Posté par: pixis le 21 Décembre 2016 à 20:36:47
Il n'y a vraiment plus de morale. Et en plus, même si tu l'envoies à deux potes qui paient, t'as aucune garantie que tu vas récupérer la bonne clé.
Leçon : Ne pas ouvrir les pièces jointes qu'on n'attend pas !

(Bon, en même temps, je trouve le principe assez rigolo  =D)


Titre: Re : Ransomware - Popcorn Time
Posté par: harvey le 21 Décembre 2016 à 20:45:11
Citation
Autre petit détail, toutes tentatives pour décrypter les fichier sans la clé effaceraient définitivement tous les fichiers touchés.
J'ai des doutes. Pourquoi ne serait-il pas possible de faire une copie des disques ?


Titre: Re : Ransomware - Popcorn Time
Posté par: pixis le 21 Décembre 2016 à 21:17:26
J'imagine que c'est possible, mais que le commun des utilisateurs ne sait même pas que c'est faisable.


Titre: Re : Ransomware - Popcorn Time
Posté par: wiwiland le 22 Décembre 2016 à 00:52:22
Donc théoriquement il serait possible d'infecter deux de ses propres machines comme par exemple des VMs avec des fichiers bidons pour récupérer la clé d'un autre PC vraiment infecté ?


Titre: Re : Ransomware - Popcorn Time
Posté par: harvey le 22 Décembre 2016 à 07:20:34
Apparemment non, ils n'envoient pas la clé si personne ne paye.


Titre: Re : Ransomware - Popcorn Time
Posté par: the lsd le 22 Décembre 2016 à 10:23:01
Bon, j'ai eu la même idée, j'avoue (pas sur des VM à cause des tricks anti VM alakon, mais le principe est là :) )

Je pense qu'on les aura jamais, mais ça serait énorme d'avoir les chiffres au niveau "affiliation", voir si l'idée est fonctionelle oupa.

Enjoy

The lsd


Titre: Re : Ransomware - Popcorn Time
Posté par: Iansus le 22 Décembre 2016 à 20:34:05
Quelques liens supplémentaires :
  • Locky, le ransomware de l'année (http://korben.info/locky-quil-y-a-a-savoir-malware-moment.html)
  • No More Ransom : protégez-vous des ransomwares connus (https://www.nomoreransom.org/)
  • Une application pour leurrer les ransomwares (http://www.silicon.fr/ransomfree-application-leurre-ransomwares-165532.html)
  • Topic NC d'un membre ayant été infecté par locky (https://www.newbiecontest.org/forums/index.php?topic=4461.0)

A rajouter :
  • https://www.circl.lu/pub/tr-41/fr/ (très bon guide, comme tous les guides du CIRCL)
  • http://www.securityinsider-solucom.fr/2015/04/cert-solucom-retour-sur-lactualite-de_1.html (un peu de pub ^^, par contre le terme "rancongiciel" pique les yeux)

Et pour info, parce qu'on aime les stats, même si ça date : 69% of email attacks with malicious attachments in Q2 contained Locky (https://www.scmagazineuk.com/69-of-email-attacks-with-malicious-attachments-in-q2-contained-locky/article/531258/)
[/list]