News

Un auteur de virus vexe attaque un site cree par des chercheurs en securite de l’information

Au cours des derniers jours, le site ID Ransomware a été victime de deux attaques DDoS consécutives qui ont été revendiquées par l’auteur du ransomware Enjey. Dans son communiqué, l’individu malintentionné expliquait que cette attaque était une vengeance contre Michael Gillespie, le chercheur fondateur d’ID Ransomware, qui avait réussi à mettre au point un outil de déchiffrement pour Enjey.

Suite à la première vague d’attaques, le site avait été inopérationnel pendant plusieurs heures : bien que l’attaque avait été rapidement neutralisée, le fournisseur avait décidé de désactiver le site à titre de prévention et de le remettre en ligne plusieurs heures après l’arrêt de l’attaque.

L’individu malintentionné avait choisi une méthode inhabituelle pour organiser cette attaque DDoS. Le site ID Ransomware a été créé afin de permettre aux utilisateurs d’identifier le ransomware dont ils ont été victimes en téléchargeant une copie de la demande de rançon et une copie d’un des fichiers chiffrés. Le créateur Enjey a visé cette section du site en programmant un cycle infini de téléchargement de deux fichiers. Le nombre de requêtes envoyées ainsi au pic de l’attaque s’élevait à 200 000 par heure et au cours de la deuxième étape de l’attaque, il fut de 20 000 par demi-heure.

L’auteur de virus rancunier avait déclaré qu’il avait été déçu de voir qu’ID Ransomware était en mesure d’identifier le malware qu’il avait créé mais il est plus que probable que la déception provenait du fait que l’auteur du site avait réussi à proposer un outil de déchiffrement aux victimes d’Enjey, un ransomware tout récent.

Il se fait qu’Enjey est un ransomware assez élémentaire comme l’avaient indiqué les nombreux chercheurs qui avaient eu l’occasion de l’étudier. Le processus de chiffrement est assez primitif et répandu : il s’agit d’un algorithme AES-256 qui génère un identifiant unique pour chaque victime et l’envoie à un serveur distant avec une clé de chiffrement.

En passant, le malware supprime des clichés instantanés du volume, ce qui empêche la restauration des fichiers, même à l’aide d’un outil de retour à l’état antérieur ou d’application de restauration des données. Le ransomware infecte presque tous les fichiers, à l’exception des fichiers de certains répertoires définis. L’extension .encrypted.contact_here_me@india.com.enjey est ajoutée aux fichiers.

L’auteur a pris lui-même la décision de désactiver le serveur de commande d’Enjey car il est inutile de chercher à continuer à propager le malware alors qu’il existe un outil de déchiffrement. Le créateur du ransomware a toutefois signalé qu’il travaillait actuellement sur la version Enjey 2.0.

Fuentes: Threatpost

Un auteur de virus vexe attaque un site cree par des chercheurs en securite de l’information

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada