Un auteur de virus vexe attaque un site cree par des chercheurs en securite de l’information

Au cours des derniers jours, le site ID Ransomware a été victime de deux attaques DDoS consécutives qui ont été revendiquées par l’auteur du ransomware Enjey. Dans son communiqué, l’individu malintentionné expliquait que cette attaque était une vengeance contre Michael Gillespie, le chercheur fondateur d’ID Ransomware, qui avait réussi à mettre au point un outil de déchiffrement pour Enjey.

Suite à la première vague d’attaques, le site avait été inopérationnel pendant plusieurs heures : bien que l’attaque avait été rapidement neutralisée, le fournisseur avait décidé de désactiver le site à titre de prévention et de le remettre en ligne plusieurs heures après l’arrêt de l’attaque.

L’individu malintentionné avait choisi une méthode inhabituelle pour organiser cette attaque DDoS. Le site ID Ransomware a été créé afin de permettre aux utilisateurs d’identifier le ransomware dont ils ont été victimes en téléchargeant une copie de la demande de rançon et une copie d’un des fichiers chiffrés. Le créateur Enjey a visé cette section du site en programmant un cycle infini de téléchargement de deux fichiers. Le nombre de requêtes envoyées ainsi au pic de l’attaque s’élevait à 200 000 par heure et au cours de la deuxième étape de l’attaque, il fut de 20 000 par demi-heure.

L’auteur de virus rancunier avait déclaré qu’il avait été déçu de voir qu’ID Ransomware était en mesure d’identifier le malware qu’il avait créé mais il est plus que probable que la déception provenait du fait que l’auteur du site avait réussi à proposer un outil de déchiffrement aux victimes d’Enjey, un ransomware tout récent.

Il se fait qu’Enjey est un ransomware assez élémentaire comme l’avaient indiqué les nombreux chercheurs qui avaient eu l’occasion de l’étudier. Le processus de chiffrement est assez primitif et répandu : il s’agit d’un algorithme AES-256 qui génère un identifiant unique pour chaque victime et l’envoie à un serveur distant avec une clé de chiffrement.

En passant, le malware supprime des clichés instantanés du volume, ce qui empêche la restauration des fichiers, même à l’aide d’un outil de retour à l’état antérieur ou d’application de restauration des données. Le ransomware infecte presque tous les fichiers, à l’exception des fichiers de certains répertoires définis. L’extension .encrypted.contact_here_me@india.com.enjey est ajoutée aux fichiers.

L’auteur a pris lui-même la décision de désactiver le serveur de commande d’Enjey car il est inutile de chercher à continuer à propager le malware alors qu’il existe un outil de déchiffrement. Le créateur du ransomware a toutefois signalé qu’il travaillait actuellement sur la version Enjey 2.0.

Fuentes: Threatpost