CryptoLocker

Informations
Classe	Cheval de Troie
Type	Ransomware
Sous-type	Crypto-verrouilleur
Date d'isolement	2 juin 2014
Système(s) d'exploitation affecté(s)	Windows

CryptoLocker est le nom d'un logiciel malveillant de type crypto-verrouilleur, c'est-à-dire un cheval de Troie à destination finale d'effectuer du ransomware, s'attaquant aux ordinateurs ayant Windows installé sur leurs machines^[1]. Il semble avoir été découvert pour la première fois le 5 septembre 2013^[2]. CryptoLocker se propage par email et via un botnet préexistant. Quand le cheval de Troie est activé, il chiffre plusieurs fichiers présents sur la machine via un chiffrement à clef publique et privée. Une fois que tous les fichiers sur l'ordinateur cible sont infectés, il commence à se répandre sur le réseau local pour infecter toutes les machines possibles (les ordinateurs comme les serveurs). La clé permettant de déverrouiller l'ensemble des fichiers est alors uniquement stockée sur les serveurs hébergeant le logiciel malveillant. Le cheval de Troie affiche alors un message disant que pour décrypter les informations, il faudra envoyer un paiement. Le paiement peut être soit fait en bitcoin, soit avec un bon en argent liquide. La somme demandée est valable jusqu'à une certaine date puis augmente si le paiement n'a pas été fait en temps et en heure.

Histoire

En 2013, bien qu'il soit facile de se débarrasser de CryptoLocker, les données sont impossibles à déchiffrer sans la fameuse clé.

Début novembre 2013, Microsoft estime que plus de 34 000 appareils sont infectés par le programme, principalement dans des pays anglophones^[3]. Symantec a estimé qu'environ 3 % des utilisateurs infectés ont choisi de payer^[4]. Certains utilisateurs ont déclaré avoir payé sans voir leurs données déchiffrées^[5].

Fin mai 2014, l'Operation Tovar (en) a permis de mettre hors service le botnet Gameover ZeuS (en) utilisé par les pirates. Les informations récupérées sur le serveur ont alors permis à des spécialistes en sécurité de proposer un outil permettant de générer la bonne clé capable de déchiffrer les données de chaque utilisateur sans avoir à payer de rançon. Des analystes considèrent que les pirates ont tout de même réussi à obtenir environ trois millions de dollars grâce à leur logiciel malveillant^[6].

Notes et références

Cet article est partiellement ou en totalité issu de l'article intitulé « Crypto-verrouilleur » (voir la liste des auteurs).

↑ (en) « You’re infected—if you want to see your data again, pay us $300 in Bitcoins » (consulté le 27 août 2016)
↑ (en-GB) « Cryptolocker ransomware has 'infected about 250,000 PCs' - BBC News » (consulté le 27 août 2016)
↑ (en) Microsoft Malware Protection Center - Backup the best defense against (Cri)locked files
↑ (en) The Guardian - CryptoLocker attacks that hold your computer to ransom
↑ (en) Security Week - Cryptolocker Infections on the Rise; US-CERT Issues Warning
↑ (en-GB) « Cryptolocker victims to get files back for free - BBC News » (consulté le 27 août 2016)

Liens externes

Portail de la sécurité des systèmes d'information

[1] (en) « You’re infected—if you want to see your data again, pay us $300 in Bitcoins » (consulté le 27 août 2016)

[2] (en-GB) « Cryptolocker ransomware has 'infected about 250,000 PCs' - BBC News » (consulté le 27 août 2016)

[3] (en) Microsoft Malware Protection Center - Backup the best defense against (Cri)locked files

[4] (en) The Guardian - CryptoLocker attacks that hold your computer to ransom

[5] (en) Security Week - Cryptolocker Infections on the Rise; US-CERT Issues Warning

[6] (en-GB) « Cryptolocker victims to get files back for free - BBC News » (consulté le 27 août 2016)

[1]

[2]

[3]

[4]

[5]

[6]

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker