Table des matières
De façon intelligente, les cybercriminels ont publié le logiciel de rançon Sodinokibi qui exploite une faille de sécurité récemment documentée dans un logiciel serveur populaire.
Les dernières nouvelles du jour dans le domaine de l’InfoSec sont l’émergence d’une nouvelle rançon troyenne nommée Sodinokibi. La grande majorité des demandes de rançon modernes sont assez ennuyeuses et ne font pas la une des journaux de la ville, mais celle-ci est spéciale. Les opérateurs de la campagne douteuse ont militarisé une vulnérabilité dans Oracle WebLogic Server catalogué comme CVE-2019-2725, qui a été corrigé par le fournisseur à la fin Avril. Même si cette faille a été de courte durée, les propriétaires de serveurs qui n’ont pas encore appliqué la mise à jour critique continuent à être sensibles à cette attaque. Essentiellement, les escrocs profitent de cette faille pour contourner l’authentification et prendre pied sur une infrastructure informatique non sécurisée. De cette façon, ils peuvent exécuter à distance du code nuisible sans déclencher de signaux d’alarme sérieux, quels qu’ils soient. Depuis que le bogue a été découvert, différents acteurs de la menace l’auraient utilisé pour installer des logiciels malveillants de botnet et des virus cryptojacking sur les hôtes. Le dernier ajout à cette liste est le rançongiciel Sodinokibi susmentionné.
La première chose que fait cette entité prédatrice de chiffrement de fichiers dans un environnement violé est d’invoquer un ensemble de commandes pour désactiver VSS (Volume Snapshot Service) et la fonction Startup Repair. Il s’agit d’une tactique typique pour ce type de code malveillant visant à empêcher la victime de remédier aux modifications ultérieures apportées au système et aux données. La prochaine étape du raid est tout à fait prévisible – Sodinokibi scanne le réseau en panne à la recherche d’informations précieuses, qui vont devenir l’objet central du chantage. Lorsque la recherche approfondie est terminée, le coupable déforme les fichiers au moyen de la cryptographie. De ce fait, les données deviennent inaccessibles et la seule condition préalable à la récupération de l’accès est la clé secrète qui se trouve en la possession des criminels. Chaque fichier otage reçoit en outre une extension aléatoire spécifique à la victime ajoutée au nom du fichier, par exemple, Stats.xlsx se transformera en quelque chose comme Stats.xlsx.1r3n5ts. La longueur de cette extension varie, mais elle se compose généralement de 6 à 8 caractères alphanumériques.
La maladie de Sodinokibi correspond également au moule de la banale rançon puisqu’ils déposent une demande de rançon. C’est un document nommé [random]-HOW-TO-DECRYPT.txt, où la partie entre parenthèses correspond à l’extension concaténée à tous les fichiers affectés sur un serveur. Dans ce document, les malfaiteurs s’adressent à la victime avec l’expression « cher ami », ce qui est ironique étant donné qu’ils sont sur le point de demander de l’argent. En résumé, les chapeaux noirs recommandent d’installer Tor Browser et de l’utiliser pour visiter une page spécifique, qui est un hub de paiement dans le modus operandi des criminels. La page .onion intitulée « Votre ordinateur a été infecté » indique que la valeur de la rançon valide pour les 3 premiers jours est de 2 500 $ de Bitcoin, et qu’elle doublera après la date limite. La victime est censée envoyer la crypto monnaie à une adresse de réception BTC fournie dans le site de paiement.
Fin juin 2019, les opérateurs du rançongiciel Sodinokibi ont affiné leur répertoire avec une astuce de distribution. La nouvelle technique repose sur la compromission du logiciel Kaseya RMM (surveillance et gestion à distance) pour contaminer les terminaux avec l’infection par cryptage de fichiers. Cette sous-campagne aurait exploité le piratage du RMM pour contourner les défenses de plusieurs MSP (fournisseurs de services gérés) et ainsi infecter des centaines d’hôtes avec Sodinokibi. Les vendeurs ont nié les allégations d’atteintes à la sécurité par le biais de failles de sécurité, affirmant que les escrocs ont été en mesure de compromettre les justificatifs d’identité des clients à la place.
Voilà pour le comportement du ravageur Sodinokibi. Il y a une autre facette de cette épidémie qui est vraiment déconcertante. Les adversaires seraient en train de distribuer une menace de suivi, qui est un échantillon de logiciels de rançon connus sous le nom de GandCrab 5.2. Une telle attaque sur plusieurs fronts est certainement une grande préoccupation, tant pour les personnes contaminées que pour les administrateurs du serveur qui sont en sécurité jusqu’à présent mais qui n’ont pas encore patché la vulnérabilité. Les conseils ci-dessous feront la lumière sur la récupération sans rançon bien faite – ils peuvent ou non faire l’affaire, mais ils valent certainement la peine d’être essayés.
La suppression automatique du rançongiciel Sodinokibi
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers Sodinokibi
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restaurer des fichiers cryptés par Sodinokibi Ransomware
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier Sodinokibi crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez si le rançongiciel Sodinokibi a été complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.