Le projet No more ransom, lancé le mois dernier, est un portail de lutte contre les logiciels de rançon (ransomware) mis en place par la police néerlandaise, Europol, Intel Security et Kaspersky Lab. La collaboration porte déjà ses fruits : Kaspersky Lab a pu transmettre au Ministère public la localisation du serveur de contrôle et commande du rançongiciel WildFire, ce qui a permis à la police et au parquet de le mettre offline.
La rafle a permis de confisquer près de 5.800 clés, dont environ 3.000 pour des infections néerlandaises et environ 2.100 pour la Belgique. Au total, 236 victimes avaient déjà payé, et les cybercriminels se sont mis dans les poches 135.9 Bitcoins en un mois (soit près de 70.000 euros).
Maintenant, au moyen des outils de décryptage spécialement développés par Kaspersky Lab et Intel Security, les victimes peuvent déverrouiller leurs fichiers infectés sans payer de rançon. Les autorités prévoient d’ajouter sous peu d’autres clés aux outils disponibles.
WildFire
Le rançongiciel WildFire semble pour l’instant viser surtout les Pays-Bas et la Belgique, puisque sur les infections enregistrées au cours des dernières semaines, la moitié est néerlandaise et 36 % sont belges. Le vecteur d’infection WildFire présente des similarités avec Zyklon et GNLocker : à partir de serveurs piratés, il expédie un courriel malicieux, prétendument de la part d’une entreprise de transport, annonçant qu’une livraison n’a pas eu lieu et demandant d’utiliser un fichier Word à télécharger pour prendre un nouveau rendez-vous. Dès que la victime ouvre le fichier Word, si la fonction macro est activée, le logiciel malveillant se télécharge et s’installe, suite à quoi WildFire verrouille les fichiers sur l’ordinateur. La rançon exigée se monte à quelque 300 euros par victime, mais si elle n’est pas payée dans les 8 jours, la somme est triplée. Au total, 236 victimes ont payé, et les cybercriminels se sont mis dans les poches 135.9 Bitcoins en un mois, soit 69.322,75 euros.
Le parquet et la police néerlandaise ont pu mettre hors ligne le serveur WildFire, qui ne peut donc plus faire de nouvelles victimes. De plus, les ordinateurs infectés ne peuvent plus établir la connexion avec les serveurs des criminels. Au lieu de cette connexion, un message est transmis à la victime, lui annonçant que le domaine malveillant a été saisi par la police néerlandaise et qu’elle peut visiter NoMoreRansom.org pour télécharger l’outil de décryptage qui leur permettra de déverrouiller leurs fichiers sans payer de rançon. Le portail NoMoreRansom propose déjà des outils de décryptage contenant près de 1.600 clés permettant aux rançonnés de libérer leurs fichiers sans payer, et les responsables prévoient d’en ajouter davantage dans les plus brefs délais. Le portail propose également cinq outils de décryptage pour d’autres logiciels de rançon, dont les clés, développées en juillet 2016, pour les rançongiciels Shade et Chimera.
NoMoreRansom.org
Le portail NoMoreRansom.org met à disposition les outils de décryptage neutralisant différents rançongiciels, ces logiciels malveillants qui verrouillent les fichiers d’un ordinateur et exigent une rançon pour les déverrouiller. Ces décrypteurs sont, naturellement, très appréciés. Le site propose également des informations utiles sur le mode d’action des logiciels de rançon et sur les précautions à prendre pour éviter d’être infecté.
John Fokker, Digital Team Coordinator de la National High Tech Crime Unit (NHTCU) de la police néerlandaise : « La rafle des clés de décryptage de WildFire prouve une fois de plus que la cybercriminalité en général, et le ransomware en particulier, est combattue plus efficacement par une collaboration étroite de tous les partis impliqués. La police néerlandaise s’efforce de venir en aide aux victimes de rançongiciels en enquêtant sur les logiciels malveillants et les cas liés, en neutralisant les infrastructures criminelles, et en mettant à la disposition du public les clés de décryptage. Cependant, tenir à jour les copies de sauvegarde des fichiers personnels demeure la meilleure stratégie contre les logiciels de rançon.
« Pour agir encore plus vigoureusement contre cette forme de logiciel malveillant, il est impératif de recruter l’aide de davantage de partenaires dans différentes disciplines », déclare Jornt van der Wiel, Security Researcher du Global Research and Analysis Team de Kaspersky Lab. « Nous faisons de bons progrès, mais nous n’en sommes qu’au début, et une collaboration intensive peut atteindre bien davantage. »
Source: Kaspersky Lab
Les sinistrés du rançongiciel WildFire aux Pays-Bas et en Belgique délivrés grâce au projet No More Ransom
24 août 2016