par Martin Brinkmann le 27 juin 2018 en matière de Sécurité – Pas de commentaires
Thanatos est un ransomware variante qui a été distribué à l’aide de logiciels malveillants campagnes au cours des derniers mois.
Les vecteurs d’attaque de la distribution à travers les salles de chat sur la Discorde plate-forme de chat, mais aussi par d’autres canaux. Les utilisateurs ont besoin pour exécuter spécifiquement préparé les fichiers sur un Pc sous Windows pour lancer l’infection ransomware processus.
Les différentes versions des logiciels malveillants ont été distribués avec Thanatos 1.1 étant la version la plus récente de la ransomware et la probabilité que de nouvelles versions seront disponibles.
Le nom de Thanatos vient du fichier readme que les attaquants de la plante sur le système de l’utilisateur. Il comprend des instructions pour les utilisateurs de payer une rançon à l’aide de monnaie électronique pour accéder à un outil de décryptage pour déchiffrer les fichiers que le ransomware cryptées sur le périphérique de l’utilisateur.
Thanatos place ses fichiers dans %APPDATA%/Roaming répertoire à l’aide de random répertoire et les noms des exécutables qu’il génère à l’aide du système de disponibilité. Thanotos analyses répertoires importants tels que des documents, des photos, OneDrive, ou de bureau et crypte les fichiers de ces répertoires en utilisant le cryptage AES.
Cisco Talos groupe a analysé Thanatos et a réussi à créer un outil de déchiffrement qui a affecté les utilisateurs peuvent exécuter pour tenter de déchiffrer les fichiers et retrouver l’accès à ces fichiers si l’opération est réussie.
ThanatosDecryptor a été publié en open source. Le programme est dit de travailler avec la version 1.0 et 1.1 de Thanatos et doit être exécutée sur les fichiers cryptés (qui ont l’ .THANATOS extension) sur la machine infectée.
Le programme tente le décryptage de certains types de fichiers, docx, xlsx, pptx, zip, et sur plus d’une vingtaine à l’époque. En d’autres termes: si Thanatos chiffré non pris en charge les types de fichiers, ThanatosDecryptor ne sera pas en mesure de décrypter les personnes à ce point dans le temps.
ThanatosDecryptor scanne les répertoires que Thanatos logiciels malveillants cibles pour les fichiers avec l’ .THANATOS extension. Chaque fichier crypté comprend de référence pour le type de fichier d’origine et le déchiffreur application utilise les informations pour déterminer si elle devrait essayer de déchiffrer le fichier.
Les développeurs décrivent le processus de déchiffrement de la façon suivante:
ThanatosDecryptor analyse également le Journal des Événements Windows pour le quotidien la disponibilité des messages et utilise le fichier crypté temps de métadonnées afin de déterminer une valeur de départ pour le décryptage. Cette valeur est utilisée pour calculer une clé de chiffrement, une AES opération de déchiffrement est effectué contre le contenu du fichier, et l’octet qui en résulte sont comparés à des valeurs connues pour être au début de ces types de fichier. Si la comparaison est infructueuse, incrémente la graine et tente une nouvelle fois ce processus. Sinon, le fichier est décrypté et écrites avec le nom de fichier d’origine.
Enfin, une fois qu’un fichier a été crypté, ThanatosDecryptor utilise la valeur de départ de cette tentative de décryptage comme un point de départ pour les tentatives de déchiffrement à l’encontre de suivi sur les fichiers (car ils sont tous susceptibles d’être très similaires).
Les développeurs de noter que le programme pourrait être amélioré, par exemple en ajoutant la prise en charge des types de fichiers supplémentaires ou à l’aide de multi-threading pour accélérer les choses.
Les utilisateurs de Windows qui sont touchés par le Thanatos ransomware devrait donner ThanatosDecryptor un aller car il peut déchiffrer les fichiers chiffrés.
Le Talos les chercheurs notent que les utilisateurs concernés, et les entreprises ne doivent pas payer la rançon que “les auteurs de malwares sont pas en mesure de retourner les données sur la victime” en raison de “problèmes présents dans le processus de chiffrement à effet de levier par ce ransomware”.
Des informations supplémentaires sont disponibles sur le Talos Intelligence blog.