Un nouveau malware baptisé "Keypass" fait son apparition

Les chercheurs de Kaspersky Lab ont découvert un nouveau cryptovirus il y a quelques jours. Ce dernier a été baptisé "Keypass" en référence à ses extensions de fichiers (.keypass). Ce dernier se propage actuellement depuis quelques jours depuis des sites d'hameçonnage ou l'utilisateur pense installer le logiciel légitime Keypass, servant de coffre fort à mots de passe.

Ce dernier semble très récent, puisque plusieurs échantillons analysés indiquent que le binaire a été compilé le 7 août dernier. Il a été développé en C++ à l'aide de Microsoft Visual Studio et utilise les librairies Boost, Crypto++ et MFC.

Une fois déployé sur le poste d'un utilisateur, le cryptovirus copie son exécutable dans le répertoire %LocalAppData% et l'exécute. Une fois cette action effectuée, il efface ses fichiers d'origine dans le répertoire de téléchargement et exécute plusieurs processus afin de chiffrer les fichiers présents sur le poste ainsi que sur les répertoires partagées et les partages réseaux.

Lors de la première exécution, le cryptovirus se connecte au serveur de contrôle afin de récupérer un identifiant unique pour la victime et la clef servant à chiffrer les fichiers. Cette réponse est transmise via HTTP contenant l'identifiant ainsi que la clef de chiffrement. Les fichiers sont alors chiffrés à l'aide d'AES 256 et l'extension ".KEYPASS" est alors ajoutée à la fin de chaque fichier. Si l'exécutable n'a pas réussi à se connecter au serveur de contrôle, une clef codée en dur dans l'exécutable est utilisée, permettant une récupération triviale des fichiers chiffrés. 

Une liste blanche de répertoires à préserver est cependant disponible au sein de l'exécutable. À titre d’exemple, les répertoires suivants sont préservés :

  • C:\Windows
  • C:\Program Files (x86)\Mozilla Firefox\
  • C:\Program Files (x86)\Internet Explorer\
  • C:\Program Files (x86)\Google\
  • C:\Program Files\Mozilla Firefox\
  • C:\Program Files\Internet Explorer\
  • C:\Program Files\Google\
  • D:\Windows
  • D:\Program Files (x86)\Mozilla Firefox\
  • D:\Program Files (x86)\Internet Explorer\
  • D:\Program Files (x86)\Google\
  • D:\Program Files\Mozilla Firefox\
  • D:\Program Files\Internet Explorer\
  • D:\Program Files\Google\

L'objectif semble donc ici de préserver le système d'exploitation et les fichiers relatifs aux navigateurs afin que la victime puisse se connecter et payer la rançon en ligne.

Il est également à noter que l'exécutable dispose d'une fonctionnalité cachée permettant de faire apparaître une fenêtre de contrôle utilisateur permettant de choisir quels fichiers chiffrer ou de choisir à la main les différents paramètres de chiffrement. Il est donc certainement possible que le cryptovirus soit également dédié à des attaques ciblées contre certaines entités.

Kaspersky Lab est actuellement en train de publier des mises à jour permettant une protection contre le cryptovirus.

Recommandations
+

Notre fiche réflexe Cryptovirus contient une liste de recommandations vous permettant de mieux vous protéger de ce type d'infection.