Les Ransomwares s’appuient sur de la cryptographie - du chiffrement - pour empêcher l’utilisation d’une machine. Ils existent depuis plusieurs années. En général, il s’agit d’une application demandant l’envoi d’un SMS surtaxé pour obtenir un code de déblocage (MISC 47, p. 14 à 17) à entrer sous Windows. Cette fois-ci, le blocage s’effectue bien avant le démarrage de l’OS, directement dans le MBR (Master Boot Record).
1. Analyse du malware
Lors de l’analyse de notre malware, nous allons rencontrer rapidement des indices qui nous dirigent vers une infection du MBR. En effet, la première sous-routine effectue la requête WQL (WMI Query Language) comme suivante :
SELECT * FROM Win32_DiskPartition Where BootPartition = true
Cela permet à notre malware de récupérer la partition bootable.
Le ransomware accède ensuite aux ressources de l’exécutable pour récupérer le code à injecter dans le MBR de la machine :
