Si le langage Go de Google gagne en popularité comme l’indique des baromètres à l’instar de l’index Tiobe où il est monté à la 16e place du classement, C’est le spécialiste en sécurité Dr. Web qui a mis le doigt sur une première variante de ransomware écrite en Go. Le logiciel malveillant, identifié sous le nom générique Trojan.Encoder.6491, se propage via un fichier nommé Windows_Security.exe, probablement dans le but de se faire passer pour une mise à jour de sécurité Windows juste après le traditionnel Patch Tuesday.
Avant de se déployer, il procède comme suit :
- il détermine le nom son fichier d’exécution et voir s’il correspond à “Windows_Security.exe”. Si c’est le cas, il passe directement à l’étape 6 ;
- il supprime le fichier %APPDATA%\Windows_Update ;
- il crée le fichier %APPDATA%\Windows_Update ,
- il se copie dans le fichier %APPDATA%\Windows_Update sous le nom Windows_Security.exe ;
- il supprime le fichier exécutable d’origine et exécuter %APPDATA%\Windows_Update\Windows_Security.exe, ce qui va marquer la fin du processus source ;
- si le fichier depuis lequel le cheval de Troie a été lancé n’est pas nommé Windows_Update, le logiciel arrête l’installation ;
- le logiciel exécute la commande
REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V Windows-Defender /t REG_SZ /F /D %APPDATA%\Windows_Update\Windows_Security.exe - le logiciel exécute les commandes suivantes (les chaînes de caractères sont chiffrées avec Base64)
Code : Sélectionner tout 1
2attrib +H +S %APPDATA%\\Windows_Update\\ attrib +H +S %APPDATA%\\Windows_Update\\Windows_Security.exe
- il se copie sous le nom %TEMP%\\Windows_Security.exe dans les fichiers temporaires et s’arrête (l'installation est terminée).
Trojan.Encoder.6491 utilise un système de chiffrement qui repose sur l'algorithme AES. Vous pouvez le repérer par la façon dont il renomme les fichiers après les avoir chiffrés. Par exemple, le ransomware prend un fichier nommé photo.png et encode son nom en utilisant l'algorithme Base64, fichier auquel il ajoute le nom d’extension ENC comme ceci : cGhvdG8 = .enc.
La bonne nouvelle c’est que les chercheurs de Dr.Web ont repéré des failles dans le mécanisme de chiffrement du ransomware et ont été en mesure de développer un outil pour déchiffrer les fichiers. La mauvaise nouvelle c’est que cet outil n’a été mis à la disposition que des utilisateurs payants de la solution antivirus. Ironiquement, la rançon et les frais de licence de Dr Web oscillent tous les deux autour de 30 dollars.
Source : Dr Web
TIOBE : Le langage de programmation Go de Google gagne en popularité, favorisé par la popularisation de Docker Les ransomwares pourraient causer un milliard de dollars de dommages aux entreprises en 2016 selon une étude 
Envoyé par Stéphane le calme
