Le retour de Gpcode

Magazine
Marque
MISC
Numéro
55
Mois de parution
mai 2011
Domaines


Résumé

25 mars 2011, alors que vous surfiez tranquillement sur Internet, le fond d'écran de votre Windows change et Notepad s'ouvre soudainement pour vous informer que tous vos fichiers personnels ont été chiffrés à l'aide de cryptographie forte (RSA 1024) et qu'il est impossible de les récupérer sans payer 125 dollars en carte pré-payée. Vous ne rêvez pas, vous êtes la victime du nouveau Gpcode.


 

ransom

Figure 1 : Demande de rançon par Gpcode

desktop

Figure 2 : Fond d'écran modifié par Gpcode

Tout ceci est dû à la visite d'un site malveillant (drive by downloads) par une machine non mise à jour. Une fois exécuté, Gpcode génère une clé AES 256 aléatoire puis la chiffre à l'aide de la clé publique des criminels, qui n'est autre que du RSA 1024. Nous allons maintenant voir les détails dans une analyse du code.

1. Obfuscation

La dernière version de Gpcode apparue en novembre 2010 était simplement compressée à l'aide d'UPX.

Une fois décompressée (upx -d), nous obtenions un binaire prêt à être analysé. Bien qu'UPX soit toujours présent dans la nouvelle version, le binaire obtenu après décompression...

Cet article est réservé aux abonnés. Il vous reste 90% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.