Anti virus et course à l’échalote : à la poursuite du Gpcode

Image-Par-Défaut-Site-Actualités

Le virus qui prend les données en otage

Dans un article de la revue spécialisée Computer Fraud & Security, David Emm, expert  chez Kapersky anti virus dévoile l’histoire de la poursuite du Gpcode, le fameux virus maître chanteur. Très instructif.

Emm explique que le virus Gpcode apparut d’abord en Russie en décembre 2004 lorsque des utilisateurs découvrirent que leurs fichiers avaient été encryptés et qu’il était impossible de trouver le programme qui les avait encryptés. La seule trace de ce programme était un fichier texte appelé !_Vnimanie_ !.txt (vnimanie voulant dire ‘attention’ en russe). Les premières cibles furent des entreprises agissant aussi bien dans l’immobilier, la publicité ou le secteur bancaire. Gpcode réapparut ensuite en juin 2005, toujours en Russie, utilisant un algorithme de chiffrement plus sophistiqué mais néanmoins facilement cassable par les équipes de l’éditeur d’anti virus.
Le virus Gpcode marqua un basculement du paradigme cybercriminel : au lieu de forcer un système afin d’accéder à des données confidentielles et d’en retirer de l’argent, on passe à une procédure dans laquelle on prend les données elles mêmes en otage et on en retire directement une rançon. Le ou les créateurs du virus Gpcode n’étaient pas gourmands : la rançon se situait entre 2000 roubles (autour de 45 €) et 500 roubles (autour 11 euros), se rattrapant sur le volume.

En janvier 2006, la version Gpcode.ac apparut, qui comporta de nombreuses améliorations grâce à l’utilisation, à la place de leurs propres systèmes de cryptage, de l’algorithme de cryptage RSA, qui se base sur deux clés, l’une publique destiné au cryptage, et l’autre privée destinée au décryptage. La rapide neutralisation de cette version par les compagnies d’anti virus n’empêcha pas l’arrivée de plusieurs nouvelles versions avec à chaque fois une nouvelle clé d’encryption plus longue. Plus la clé utilisée s’allongeait, plus les sociétés d’anti virus eurent du mal  à casser le chiffrement. Gpcode.af utilisa ainsi une clé à 330 bits qui nécessita 10 heures de travail-homme et de puissants ordinateurs pour le casser. La clé à 660 bits de Gpcode.ag aurait normalement dû nécessiter 30 ans de calculs d’un processeur à 2.2 Ghz. Grâce à une technique que Kaspersky garde confidentielle, l’éditeur d’anti virus a toutefois pu publier des routines de détection et de décryptage le jour même de la détection de cette version.

La version gpcode.ak  sortie en Juin 2008 utilisa une clé à 1024 bits. Pour le casser, il faudrait l’équivalent en puissance de 15 millions d’ordinateurs tournant pendant un an. Aucun éditeur d’anti virus ne pouvait casser ce code isolément, ce qui amena l’éditeur russe à lancer l’initiative Stop Gpcode regroupant aussi bien des fabricants d’anti virus, des chercheurs indépendants que des institutions publiques en quête d’une faille dans l’implémentation de la clé utilisée dans les virus.

La clé privée de gpcode.ak n’a toujours pas été détectée à ce jour, mais l’article indique qu’il est possible dans certains cas de récupérer jusqu’à 98% des fichiers cryptés grâce à une erreur faite par l’auteur du virus : avant de crypter un fichier, le virus crée un nouveau fichier qui contient les données chiffrées du fichier original. Une fois que le chiffrement est achevé, le fichier original est supprimé. Si le disque dur n’a pas fait l’objet de nouvelles écritures, les fichiers originaux supprimés peuvent être récupérés en utilisant des applications de récupération de fichiers, dont le plus efficace est le gratuiciel PhotoRec, destiné à l’origine à récupérer des fichiers images supprimés.  L’éditeur russe d’anti virus a également créé un utilitaire, StopGpcode, qui part de la correspondance entre un fichier intact (récupéré avec PhotoRec par exemple) et un fichier chiffré sur un ordinateur pour récupérer les autres fichiers cryptés.

L’auteur conclut en rappelant les règles de base dont il ne faut jamais se départir : ne jamais payer face à un chantage, ne jamais lancer des programmes inconnus et toujours sauvegarder ses données. Nous ajouterions … utiliser un anti virus !

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …