La dernière semaine a été pleine d’évènements pour l’équipe de recherche dans les malwares d’Emsisoft. Tout a commencé il y a deux semaines lorsque nous avons reçu des rapports relatifs à un nouveau rançongiciel de nos amis chez BleepingComputer. Un nombre considérable d’utilisateurs ont rapporté que leurs fichiers avaient été chiffrés et qu’ils avaient trouvé une note de rançon sur leur système disant :
La note de rançon laissée par CryptoDefense sur l’ordinateur des victimes
Le nom du malfaiteur auto-proclamé ? CryptoDefense.
Le nom de CryptoDefense semblera familier au lecteur attentif, vu qu’il énonce le nom du rançongiciel infâme CryptoLocker qui sévit depuis la fin de l’année dernière. Comme CryptoLocker, CryptoDefense se propage d’habitude à travers des campagnes de mails indésirables et prétend utiliser une clé RSA de 2048 bits pour chiffrer les fichiers de la victime. Comme CryptoLocker, CryptoDefense affirme également qu’il n’est pas possible de déchiffrer les fichiers, mais contrairement à CryptoLocker, cette affirmation était d’abord un mensonge.
Une des différences principales entre CryptoDefense et CryptoLocker est le fait que CryptoLocker génère sa paire de clé RSA sur le serveur Command et Control
CryptoDefense, par contre, se sert de Windows CryptoAPI pour générer la paire de clés sur le système de l’utilisateur. Il n’y aurait pas de grande différence s’il n’y avait pas quelques failles peu connues et peu documentées dans Windows CryptoAPI. Une de ces failles causera la création d’une copie locale des clés RSA sur lesquelles votre programme s’appuie si vous ne faites pas attention. Qui que ce soit qui a créé CryptoDefense n’était apparemment pas au courant de cette faille, et sans que lui ne s’en rende compte, la clé permettant de déchiffrer les fichiers de l’utilisateur infecté se trouvait en fait sur le système de ce dernier.
S’il y avait des prix accordés aux créateurs de malwares pour les erreurs les plus ridicules, cette erreur serait sûrement de la partie, et lorsque nous sommes tombés là-dessus il y a environ 10 jours, nous n’en croyions pas nos yeux. Une fois ce choc digéré, nous avons très vite développé un outil de déchiffrage permettant de trouver cette clé et fini par avoir un prototype en un seul jour. Celui-ci nous a permis de créer un déchiffreur opérationnel pour craquer CryptoDefense, mais nous nous voyions encore face à une énigme intéressante. Comment faire pour faire passer notre outil à autant de victimes que possible sans informer le créateur du malware de son erreur ?
Réflexion faite, la solution était simple : Contacter les victimes de CryptoDefense en direct et leur proposer notre solution entre quatre yeux. À cette fin, nous avons fouillé dans plusieurs forums d’assistance pour trouver des personnes affectées et laissé des annonces pour nous contacter, en espérant que les personnes affectées par ce problème et à la recherche d’une solution verraient ces annonces. Nous avons également partagé le déchiffreur et des instructions d’emploi avec un bon nombre de bénévoles dignes de confiances aidant dans ces communautés d’assistance afin d’élargir notre portée. Et comme il s’est avéré, cette approche a été très efficace, mais nous a coûté un peu : Emsisoft a reçu 0 de publicité pour ses découvertes et peu d’attention de la part de la presse.
Ce manque de publicité était bien sûr dans notre intention, mais malgré notre discrétion, le créateur de CryptoDefense a fini par en avoir vent. Après environ 5 jours, il a réussi à apprendre qui nous sommes et comment nous procédions pour aider ses victimes, mais il n’avait pas encore accès à notre déchiffreur ni aucune idée comment nous étions arrivés à déchiffrer les fichiers de ses victimes. Il aura été sûrement furieux et a rapidement essayé de mettre hors service les adresses de contact que nous avions laissées dans plusieurs communautés d’assistance en les inondant de mails. Il n’y a aucun doute qu’il s’agissait d’un acte de désespoir, commis dans l’intention de nous empêcher de communiquer avec les victimes, mais qui s’est avéré peu efficace. Nous avons reçu plus de 30.000 mails en quelques heures, mais sommes arrivés à contourner cette attaque grâce à quelques filtres anti-spam raffinés au niveau du serveur, et peu apres, nous étions de nouveau capables de répondre aux demandes d’aide des victimes de CryptoDefense.
Pourquoi donc publier maintenant un article relatif à cet incident sur notre blog ?
Bonne question – d’autant plus que nous nous sommes tellement efforcés pour rester en secret. Alors, la réponse est aussi simple. Nous n’étions pas les seuls à nous rendre compte de l’erreur du créateur du malware. Il y avait d’autres qui étaient au courant de ce qui se passait, mais ils ne soulignaient pas tant l’aide aux victimes comme nous, mais ont préféré informer le plus tôt possible de cet incident au lieu d’aider les victimes de CryptoDefense à restaurer leurs fichiers.
Le 31 mars, un grand fournisseur de solutions anti-virus et l’un de nos compétiteur, a décidé de publier un article relatif à CryptoDefense et à l’erreur énorme commis par son créateur sur son blog. Malheureusement, cet article comprenait également suffisamment d’informations permettant au développeur de CryptoDefense de trouver la faille dans son logiciel et y remédier. Cet article a vite été repris par la presse, et seulement 24 heures plus tard, le créateur du malware a commencé à propager une version améliorée de CryptoDefense – qui ne laisse plus de clés sur le système de la victime. Cet enchaînement malheureux d’évènements sert de preuve pour un aspect que nous, chez Emsisoft, avons reconnu dès la fondation de notre entreprise : Il est parfois mieux de ne pas exprimer quelque chose, même si cela veut dire que les succès de notre entreprise ne reçoivent pas les mérites dus.
Jusqu’à ce que notre compétiteur ait aidé l’auteur de CryptoDefense à se rendre compte de son erreur, Emsisoft a reçu des demandes d’aide de 450 victimes de malwares minimum. Nous avons réussi à débloquer au moins 350 ordinateurs, ce qui a réduit le revenu potentiel de l’auteur de 175.000$ minimum et aidé de nombreuses personnes, familles et entreprises à restaurer leurs fichiers importants.
Nous n’aurons pas reçu l’attention dans la même mesure que l’autre entreprise ni fait la une dans les nouvelles des pirates informatiques, mais en fin de compte, nous sommes d’avis d’avoir fait la bonne chose et contribué à un monde plus libre de malwares.