Votre MBR pris en otage !

Magazine
Marque
MISC
Numéro
53
Mois de parution
janvier 2011
Domaines


Résumé

Les Ransomwares s’appuient sur de la cryptographie - du chiffrement - pour empêcher l’utilisation d’une machine. Ils existent depuis plusieurs années. En général, il s’agit d’une application demandant l’envoi d’un SMS surtaxé pour obtenir un code de déblocage (MISC 47, p. 14 à 17) à entrer sous Windows. Cette fois-ci, le blocage s’effectue bien avant le démarrage de l’OS, directement dans le MBR (Master Boot Record).


1. Analyse du malware

Lors de l’analyse de notre malware, nous allons rencontrer rapidement des indices qui nous dirigent vers une infection du MBR. En effet, la première sous-routine effectue la requête WQL (WMI Query Language) comme suivante :

SELECT * FROM Win32_DiskPartition Where BootPartition = true

Cela permet à notre malware de récupérer la partition bootable.

Le ransomware accède ensuite aux ressources de l’exécutable pour récupérer le code à injecter dans le MBR de la machine :

ressource

À l’aide d’un débogueur (ou d’un éditeur de ressources), il est possible de visionner et de dumper cette ressource :

ressource2

et de voir une partie très intéressante un peu plus bas :

ressource3

Nous trouvons dans cette ressource un message nous informant du blocage de la machine et du chiffrement des disques. Le message indique qu’il est nécessaire de se connecter à un site web pour obtenir un code de déblocage et récupérer les...

Cet article est réservé aux abonnés. Il vous reste 90% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.