Comment récupérer les données chiffrées par les ransomwares Yatron et FortuneCrypt ?

Comment récupérer les données chiffrées par les ransomwares Yatron et FortuneCrypt ?

Comment pouvons-nous récupérer les fichier chiffrés par des ransomwares ? Devons-nous payer les criminels qui prennent nos données en otage ? Depuis qu’ils ont fait les gros titres en 2017, les ransomwares n’ont cessé d’évoluer, mais ils étaient et restent un grand casse-tête aussi bien pour les utilisateurs que pour les experts. Il n’est pas simple de récupérer des données chiffrées par des ransomwares, voire même impossible dans certains cas. Mais nous avons une bonne nouvelle pour toutes les victimes de logiciels malveillants tels que Yatron ou FortuneCrypt : les experts de Kaspersky ont mis au point des déchiffreurs pour récupérer les fichiers qui ont été chiffrés par ces logiciels malveillants.

Les victimes des ransomwares Yatron et FortuneCrypt peuvent télécharger un déchiffreur sur le site web de No More Ransom pour récupérer leurs données chiffrées

Comment déchiffrer des fichiers chiffrés par Yatron

Le ransomware Yatron est lié à un autre dispositif de chiffrement, Hidden Tear, dont l’histoire est peu commune. Il y a quelques années, le chercheur turc Utku Sen a créé ce logiciel malveillant à des fins éducatives et de recherches puis mis en ligne le code source. Son idée était de vous faire comprendre comment les cybercriminels pensent et s’efforcer au mieux de les contrecarrer.

Sen s’est très vite rendu compte que son code pourrait être utilisé par des personnes véritablement mal intentionnées. Il a donc volontairement laissé des failles lui permettant de récupérer les clés de chiffrement sur les serveurs de commandes qu’utilisent les logiciels malveillants. Ces clés pouvaient aussi être utilisées pour créer des déchiffreurs.

Le plan de Sen s’est avéré défectueux lorsqu’un des fournisseurs d’accès, dont les créateurs de ransomwares utilisaient les services, est parvenu à fermer complètement le serveur de commandes. Ceci a entraîné la suppression de toutes les données, y compris les clés, avant même que les chercheurs ne puissent s’en rendre compte.

Plus tard, les criminels sont entrés en contact avec Sen et lui ont promis de restaurer les données des victimes s’il retirait le code source de son chiffreur d’Internet. Les experts ont pu accéder à leur requête, mais beaucoup de personnes avaient déjà téléchargé Hidden Tear à ce moment-là. L’héritage de ce logiciel perdure : les experts trouvent encore de nouveaux ransomwares basés sur ce même modèle. Yatron n’est qu’un exemple parmi tant d’autres.

Cependant, il n’est pas impossible de combattre le ransomware puisque, fort heureusement, des faiblesses ont été découvertes dans le code de Yatron et nos experts en ont profité pour créer un déchiffreur. Si vous voyez qu’un de vos fichiers chiffrés a l’extension *.yatron, alors rendez-vous sur le site web de No More Ransom et téléchargez un outil de déchiffrage qui récupérera tous vos fichiers.

Comment déchiffrer des fichiers chiffrés par FortuneCrypt

Il est compliqué de qualifier le second pack de ransomware de chef-d’œuvre, ou devrait-on plutôt dire chef-d’œuvre de piratage ? Plutôt que d’utiliser des langages avancés comme C/C++ et Python, les créateurs de FortuneCrypt ont choisi d’écrire le code en BlitzMax, un langage particulièrement simple semblable à un BASIC turbocompressé. Nous n’avions jamais vu un tel langage dans toute l’histoire de notre chasse aux logiciels malveillants.

Nos experts ont découvert que l’algorithme de chiffrement du malware était loin d’être parfait : il leur permettait de développer un déchiffreur. Au même titre que Yatron, les victimes de FortuneCrypt peuvent télécharger un outil de déchiffrage depuis le portail de No More Ransom, à travers lequel elles pourront récupérer les données chiffrées.

Que faire avec les ransomwares sur votre ordinateur

Dans un premier temps, ne payez pas la rançon. En payant, vous ne faîtes qu’encourager les criminels, sans garantie de récupérer vos données. Le mieux à faire dans ces cas-là est de vous rendre sur No More Ransom. Ce site Internet a été conçu par des experts issus de différentes entreprises spécialisées dans la cybersécurité et d’autorités policières du monde entier comme Kaspersky, Interpol ou encore la police néerlandaise. Cela permet aux victimes de soulager leur détresse. Le site propose des déchiffreurs pour des centaines de programmes pour palier les menaces de ce genre et sont tous gratuits.

Comment vous protéger des extorqueurs

Enfin, voici quelques astuces pour éviter d’être victime d’un ransomware :

  • Ne téléchargez pas de programmes sur des sites inconnus ou suspects. Même si le nom du programme à l’air correct, le pack peut contenir quelque chose de complètement différent et dangereux.
  • Ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes des e-mails provenant de destinataires inconnus. Si vous recevez un message suspect et inattendu d’un ami ou d’un collègue, appelez-les pour savoir si vous pouvez ouvrir le fichier ou non.
  • Assurez-vous de télécharger les dernières mises à jour de votre système d’exploitation et des programmes que vous utilisez régulièrement. Cela vous permet d’éviter les failles de sécurité dont les créateurs de ransomwares tirent profit.
  • Installez une application antivirus fiable et ne la désactivez jamais, même si certains programmes vous demande de le faire.
  • Sauvegardez les données importantes et stockez-les sur le Cloud, sur une clé USB ou sur un disque dur externe.

Source: Antivirus

Vulnérabilité pour les cartes bancaires sans contact

Des chercheurs en cybersécurité découvrent comment faire cracher plus de 30€ à une carte sans contact. Les possesseurs de cartes Visa sans contact sont plus fragiles aux pirates que les autres ? Des chercheurs en cybersécurité de sa Gracieuse Majesté ont découvert comment faire payer plus de 30 euro…

Cet article Vulnérabilité pour les cartes bancaires sans contact est apparu en premier sur ZATAZ.

Source: zataz

Fonction publique : ce qui va changer avec la loi de transformation

Mobilité facilitée, dialogue social simplifié, recours accru aux contractuels, temps de travail harmonisé, rupture conventionnelle… La loi de transformation de la fonction publique concerne l’ensemble des agents (d’État, hospitaliers, territoriaux), soit 5,5 millions de fonctionnaires. Elle est parue au Journal officiel du 7 août 2019.

Source: Service Public

Bateaux de plaisance : du nouveau concernant la carte de circulation

Vous venez d’acquérir un bateau de plaisance pour naviguer dans les eaux intérieures (rivières, lacs, canaux). Depuis le 5 août 2019, la carte de circulation ainsi que le certificat international de bateau de plaisance de navigation intérieure vous sont transmis électroniquement. C’est ce que précise un arrêté paru au Journal officiel du 11 août 2019.

Source: Service Public

Spams envoyés par le biais du site web de votre entreprise

Spams envoyés par le biais du site web de votre entreprise

Les spammeurs cherchent constamment de nouvelles façons d’envoyer des spams en contournant les filtres pourtant paramétrés par les destinataires. En général, ils tentent de vous faire croire que le message provient de quelqu’un qui a bonne réputation en matière de filtrage de spam. Par exemple, ils cherchent à envoyer des spams à partir de d’une adresse e-mail appartenant à votre entreprise et à travers votre site web. Cette méthode, dont nous vous parlerons plus bas, est de plus en plus populaire.

De nos jours, presque toutes les entreprises sont intéressées par les retours de leurs clients afin d’améliorer leurs services, conserver leur clientèle et plus encore. Pour obtenir ce retour, les entreprises mettent généralement en place des formulaires de retour, ou même plusieurs types de formulaires, sur leur site web. Les utilisateurs peuvent utiliser ces formulaires pour poser des questions, faire des suggestions, s’inscrire aux événements de l’entreprise ou s’abonner aux newsletters et recevoir d’autres mises à jour. Les cybercriminels, pendant ce temps, essaient d’exploiter ce mécanisme pour envoyer des spams à des personnes ou à des entreprises qui n’ont aucun lien.

Comment les  cybercriminels peuvent utiliser votre site web pour envoyer des messages

En fait, le mécanisme est plutôt simple. En règle générale, avant qu’un utilisateur ne puisse utiliser un service en ligne, s’abonner à une liste de diffusion ou poser une question sur le site web d’une entreprise, il doit dans un premier temps s’inscrire. Cela signifie qu’il doit au minimum renseigner son nom et son adresse e-mail. Après que l’utilisateur ait fait une demande pour s’enregistrer, l’entreprise lui envoie un message de confirmation par e-mail. Les spammeurs ont tout simplement trouvé comment ajouter leurs informations à ces messages.

Ils définissent l’adresse de la victime comme étant l’adresse d’inscription puis insèrent leur message de publicité dans le même champ. Ce message peut ressembler à quelque chose comme  » nous vendons des plaques métalliques à prix réduit. Rendez-vous sur http://sheetiron.su.  » Le mécanisme d’enregistrement envoie un message de confirmation à la victime. Le message commence poliment :  » Bonjour, nous vendons des plaques métalliques à prix réduit. Rendez-vous sur http://sheetiron.su ! Veuillez confirmer votre demande d’inscription…  » Si quelqu’un essaie de vous jouer un tour en utilisant le formulaire d’inscription du site web d’une entreprise de construction, le résultat peut être plutôt convaincant.

L’évolution des cybercriminels et de leur façon d’utiliser les formulaires de retour

Il est étonnant de constater que ce nouvel outil qu’exploitent les spammeurs surgisse en réalité des efforts mis en œuvre pour combattre les spams. Il fut un temps, à l’aube d’Internet, où l’outil de choix pour faire un retour sur les sites web ressemblait à un livre d’or dans lequel chacun pouvait laisser un message. Comme les farceurs et les spammeurs ont commencé à en profiter, les livres d’or sont devenus ingérables. Les experts en sécurité des sites web ont donc décidé que les clients devaient d’abord s’inscrire. Les cybercriminels ont répliqué en utilisant des programmes qui inscrivent automatiquement les utilisateurs avec une fausse adresse e-mail, ce qui leur permet de continuer de spammer les sites web des entreprises.

C’est à ce moment-là que les développeurs ont commencé à demander aux utilisateurs de confirmer leur adresse mail. Et c’est ce mécanisme que les spammeurs sont désormais capables d’exploiter pour envoyer des messages. Lorsque cela arrive, l’entreprise ne reçoit pas de messages sur son compte. Les données des utilisateurs collectées lors de l’inscription sont simplement enregistrées dans une base de données puis les victimes reçoivent quelque chose comme cela :

Les avantages d’envoyer des spams par le biais des sites web d’entreprises réputées

Presque toutes les entreprises qui cherchent à attirer de nouveaux clients sur Internet et maintenir la loyauté des utilisateurs existants font très attention à leur site web. Le design du site, le contenu et la facilité d’utilisation sont très importants. En général, les entreprises surveillent de très près la réputation de leur site web. Toutefois, c’est cette réputation impeccable qui attire les cybercriminels.

Généralement, les messages envoyés par une source sûre franchissent facilement les filtres anti-spam étant donné qu’ils possèdent le statut de message officiel d’entreprise de renom. De plus, l’en-tête du message est totalement légitime. En même temps, le taux réel de contenu spam dans les messages, qui correspond à ce qui peut activer les filtres, est relativement bas. Le classement des spams est établi en fonction de plusieurs facteurs. C’est donc l’authenticité totale du message qui prévaut. Le message passe à travers les filtres.

Cette méthode d’envoi de spams est récemment devenue de plus en plus populaire auprès des escrocs. Ils ont même commencé à l’offrir comme un service : utilisez les formulaires de retour pour envoyer votre publicité.

Les spams envoyés à travers votre site menace votre entreprise

La réputation de votre entreprise et le bien-être de vos clients sont en péril. Premièrement, si les messages confirmant l’inscription contiennent des publicités intrusives et sont envoyés en votre nom, les destinataires de ce message, qui se rappellent ne pas avoir rempli de formulaire d’inscription sur votre site, pensent alors que c’est votre entreprise qui leur envoie des spams.

Dans un second temps, les spammeurs insèrent parfois des liens d’hameçonnage dans le champ nom. Cette méthode compromet un peu plus votre entreprise puisqu’elle redirige le destinataire vers un contenu frauduleux ou vers des codes malveillants, ce qui pourrait avoir des conséquences beaucoup plus graves pour la victime.

Parfois, les escrocs peuvent exploiter le nom de la compagnie dans un but précis. Ce qui, par conséquent, ternit sa réputation. Par exemple, ils peuvent utiliser cette méthode pour envoyer des messages de fausses promotions ou concours à vos utilisateurs. Étant donné que ces messages frauduleux semblent provenir d’une source légitime, beaucoup de gens font confiance à ces messages.

Comment pouvez-vous empêcher les spammeurs d’utiliser votre site ?

Pour commencer, essayez de comprendre comment les formulaires de retour fonctionnent sur votre site Internet en réalisant un petit test. Allez sur le formulaire correspondant sur votre site, inscrivez-vous avec votre adresse personnelle puis écrivez ce message dans le champ nom :  » Je vends mon garage…  » Ajoutez-y l’adresse d’un site Internet et un numéro de téléphone. Vérifiez ensuite ce que vous avez reçu sur votre boîte mail pour voir s’il existe des mécanismes qui vérifient ce type d’information.

Si vous recevez un message qui commence par  » Bonjour, je vends mon garage…  » alors vous devriez contacter les personnes responsables de la maintenance de votre site et leur rappeler que le nom de personnes réelles et vivantes ne peut contenir de chiffres, de points-virgules,  » http://  » et autres symboles et chaînes similaires. Ils doivent créer de simples contrôles de saisie qui considéreront comme erronée toute tentative d’inscription sous un nom contenant ce type de caractères. Les développeurs peuvent introduire facilement ces vérifications sur votre site ou dans le mécanisme de mailing.

Pensez aussi à faire contrôler les failles de votre site au cas où les développeurs seraient passés à côté de quelque chose.

Source: Antivirus

Varenyky, le virus qui prend des captures d’écran durant la consultation de sites pornographiques

Des chercheurs découvrent une série de campagnes de spam ciblant spécifiquement la France. Ces campagnes distribuent un code malveillant baptisé Varenyky. À l’image de beaucoup d’autres bots de ce type, Varenyky peut bien sûr envoyer du spam ou voler des mots de passe. Mais là où il se distingue, c’est qu’il est aussi capable d’espionner […]
Source: sécurité informatique

Oui à la cyber-immunité et non à la peur

Oui à la cyber-immunité et non à la peur

Je fais partie du secteur de la cybersécurité depuis maintenant plus de 15 ans. Pendant tout ce temps, avec d’autres vétérans de la sécurité des informations, j’ai pu constater la montée de l’hypermédiatisation directe du FUD (« peur, incertitude et doute »). Force est de constater que cela a fonctionné. La science neuromarketing a eu raison cette fois-ci. La peur a vraiment impulsé la vente des produits de sécurité. Cependant, comme tout médicament, le FUD a un effet secondaire. Et pas qu’un seul en réalité : il en a plusieurs.

En tant qu’industrie, nous ne pouvons échapper au FUD car nous en sommes dépendants. Pour nous, le FUD se manifeste dans certaines demandes de preuves de nos clients pour certifier que ce que nous leur disons n’est pas juste une autre faille potentielle mais un véritable danger. Malheureusement, la meilleure preuve qu’un danger est réel ne survient que lorsque quelque chose de mal se produit. C’est pourquoi les médias dépendent tant du FUD. Plus les pertes s’élèvent à des millions de dollars, d’euros ou peu importe la devise, plus l’histoire est intéressante.

Ensuite, un autre acteur entre en jeu : les régulateurs et leur tendance à surréagir et à imposer leurs règles strictes de conformité et leurs amendes. Les chercheurs en sécurité, les concepteurs de produits, les négociants, les médias et les régulateurs tombent dans un piège stratégique connu comme le dilemme du prisonnier en théorie des jeux : tous les joueurs doivent utiliser des stratégies suboptimales pour ne pas perdre. Dans le cas du secteur de la sécurité des informations, l’utilisation de cette stratégie suboptimale implique la création d’encore plus de FUD.

Pour sortir de ce piège, nous devons comprendre une chose : nous ne pouvons construire le futur sur la peur.

Le futur dont je parle n’est pas si lointain, il est déjà là. Les robots conduisent déjà des camions et errent autour de Mars. Ils composent des musiques et créent de nouvelles recettes de cuisine. Ce futur est loin d’être parfait sur plusieurs points, y compris celui de la cybersécurité, mais nous sommes là pour le valoriser, et non pas pour lui faire obstacle.

Eugène Kaspersky a récemment déclaré qu’il croyait que « le concept de cybersécurité deviendrait bientôt obsolète et que la cyber-immunité prendrait sa place« . Bien que cela puisse sembler étrange, ce concept a une signification beaucoup plus profonde qui vaut la peine d’être expliquée. Laissez-moi entrer un peu plus dans les détails et présenter ce concept de cyber-immunité.


La cyber-immunité est un grand terme pour expliquer notre vision d’un futur plus sûr. Dans la vie de tous les jours, le système immunitaire d’une organisation n’est jamais parfait. Les virus et autres objets microbiologiques malveillants trouvent toujours un moyen de les duper, ou même de s’attaquer au système. Toutefois, ces systèmes immunitaires présentent un point en commun très important : ils apprennent et s’adaptent. Ils peuvent être « éduqués » grâce à la vaccination contre des dangers éventuels. En des temps difficiles, nous pouvons les aider en leur injectant des anticorps préparés à l’avance.

En cybersécurité, nous sommes habitués à traiter majoritairement avec ces derniers. Nous avons dû trouver des solutions pour nos clients lorsque leur système informatique succombait à une infection. Mais c’est à cause de cela que la dépendance au FUD a commencé : les vendeurs de solutions de sécurité fournissaient des médicaments pour traiter des maladies très graves. Il a été démontré que les vendeurs de sécurité des informations deviennent accros à ce sentiment de « superpuissance ». Nous nous sommes alors dit, « oui, il est temps d’utiliser des antibiotiques puissants car, croyez-nous, le problème est vraiment très grave ». Mais voilà, utiliser des antibiotiques puissants n’a de sens que si l’infection est déjà bien installée, et nous sommes d’accord pour dire que c’est loin d’être ce qu’il y a de mieux. Dans notre métaphore de la cybersécurité, il aurait été préférable que le système immunitaire puisse arrêter cette infection avant qu’elle ne s’établisse.

Aujourd’hui, les systèmes informatiques sont devenus très hétérogènes et ne peuvent être pris en compte sans le contexte humain, ceux qui dirigent les appareils et ceux qui interagissent avec. La demande pour « éduquer le système immunitaire » a grandi de telle sorte que nous constatons que la priorité est plutôt donnée à la prestation de services qu’aux produits qui avaient l’habitudes de passer avant tout. De nos jours, les  » produits  » sont, dans de nombreux cas, des solutions personnalisées adaptées aux besoins du système informatique et conçues pour lui correspondre.

Comprendre cette vision n’est pas chose facile. Au même titre que les vaccins, il ne s’agit pas d’avoir un seul point de vue mais plutôt une série de tentatives qui ont toutes le même objectif : une cyber-immunité plus forte pour un futur plus sûr.

Avant toute chose, un futur plus sûr ne peut être construit que sur des fondations sûres. Nous croyons que cela est possible lorsque tous les systèmes sont conçus dès le départ en prenant en compte la notion de sécurité. De véritables applications dans les secteurs des télécommunications et de l’automobile testent d’ores et déjà notre approche visionnaire. Dans la mesure où les constructeurs automobiles portent un intérêt particulier à la sécurité, notre énoncé de mission visant à « construire un monde plus sûr » est essentiel. La sécurité est un terme à prendre au sens plein dans le monde de l’automobile.

Comme pour le vaccin biologique, nous nous attendons à ce que le concept de cyber-immunité suscite le doute chez certains. La première question à laquelle je m’attends est : « Peut-on faire confiance au vaccin et à ses vendeurs ? » Croire en la cybersécurité revêt une importance capitale et il ne suffit pas simplement de donner notre parole. Un client est tout à fait en droit de demander des informations, sous forme de code source, sur la sécurité et l’intégrité du logiciel. Nous rendons cela possible ; les clients n’ont besoin que d’un regard attentif et d’un ordinateur pour vérifier que tout fonctionne correctement. Cependant, nous avons besoin d’un ordinateur en bonne condition sanitaire pour analyser ce code, afin de nous assurer que des experts ne puissent trafiquer le code eux-mêmes. Tout comme vous consultez plusieurs médecins pour avoir un deuxième avis et vous rassurer, il est normal qu’un tiers de confiance regarde le code. Grâce aux solutions informatiques, cet expert externe pourrait être un représentant d’un des quatre grands groupes d’audit pouvant vous expliquer ce que veulent vraiment dire bits ou octets pour votre entreprise.

Un autre élément important qu’il convient de noter est la capacité du système immunitaire à résister aux attaques dirigées contre lui. Le logiciel de cybersécurité n’est encore qu’un logiciel et peut donc présenter des défauts. Le meilleur moyen de les connaître est de les exposer aux pirates informatiques bien intentionnés (white hats), ceux qui détectent les erreurs et les signalent aux vendeurs. Introduite pour la première fois en 1983, l’idée d’offrir une rétribution à ceux qui trouvent des bugs dans le logiciel s’est révélée absolument brillante dans la mesure où elle a réduit de manière considérable la motivation financière des pirates informatiques mal intentionnés (black hats), qui traquent attentivement les failles ou les vendent à d’autres cybercriminels. Toutefois, les pirates informatiques bien intentionnés demandent aux compagnies pour lesquelles ils enquêtent de leur garantir qu’elles ne s’en prendront pas à eux ou ne les poursuivront pas en justice.

Là où il y a de la demande, il y a de l’offre. Nous avons donc récemment proposé de mettre en place des accords entre chercheurs et entreprises afin que les premiers puissent prudemment pirater les seconds sans craindre d’être accusés de crime, et ce aussi longtemps qu’ils suivront les règles. Je crois qu’en suivant cette direction nous faisons un pas de plus vers un futur plus sûr, en véhiculant moins de peur que dans le passé, mais ce voyage va être long.

Source: Antivirus