La rançongiciel GrandCrab continu de sévir

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3279
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

La rançongiciel GrandCrab continu de sévir

Message par charles » 17 juil. 2018 13:16

Le rançongiciel GrandCrab continu de sévir d'évoluer depuis son apparition en début d'année.

Si pour certains chercheurs comme Kévin Beaumont la dernière version du rançongiciel exploiterait la vulnérabilité SMB MS17-010 pour se propager et serait capable d'infecter des machines XP ou 2003 Server, pour d'autres chercheurs ce n'est pas aussi évident, comme le révèle un récent article sur Threat Post.

Ce que nous savons à ce jour, c'est qu'il est capable de se propager sur le réseau tel un vers, chiffre les données, est capable de chiffrer les données en mode autonome (sans accès à un serveur C2), mais peu également agir comme un trojan en exfiltrant des données.

Dans tous les cas, il est primordiale que les systèmes soient à jour des correctifs de sécurité. Si vous avez encore des postes XP / 2003, vous pouvez appliquer les correctifs pour la MS17-010 (voir : viewtopic.php?f=5&t=855&p=2482&hilit=2003#p2470) et tant qu'à faire, les correctifs pour la MS17-013, publiés l'an passé (voir : viewtopic.php?f=78&t=878&p=2571&hilit=xp+2003#p2571).
Si possible désactiver SMB V1.

À noter également, BitDefender a publié en février GrandCrab Decryptor qui permet de récupérer les données chiffrées par le rançongiciel. Cela ne veut pas dire qu'il fonctionne toujours avec les dernières versions, mais sait-on jamais...

Avatar du membre
charles
Administrateur du site
Messages : 3279
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: La rançongiciel GrandCrab continu de sévir

Message par charles » 20 juil. 2018 10:06

La récent rapport de Fortinet sur le sujet indique que la vulnérabilité MS17-010 ne serait pas exploitée par les dernières versions de GrandCrab.

On y découvre qu'il kill pas mal de processus pour s'assurer de ne pas être embêté pendant le chiffrement des données. Vu les processus killés, on peut en conclure qu'il est capable de s'attaquer à des bases de données telles que SQL Server, MySQL ou Oracle :oops:

Code : Tout sélectionner

- msftesql.exe

- sqlagent.exe

- sqlbrowser.exe

- sqlwriter.exe

- oracle.exe

- ocssd.exe

- dbsnmp.exe

- synctime.exe

- agntsvc.exeisqlplussvc.exe

- xfssvccon.exe

- sqlservr.exe

- mydesktopservice.exe

- ocautoupds.exe

- agntsvc.exeagntsvc.exe

- agntsvc.exeencsvc.exe

- firefoxconfig.exe

- tbirdconfig.exe

- mydesktopqos.exe

- ocomm.exe

- mysqld.exe

- mysqld-nt.exe

- mysqld-opt.exe

- dbeng50.exe

- sqbcoreservice.exe

- excel.exe

- infopath.exe

- msaccess.exe

- mspub.exe

- onenote.exe

- outlook.exe

- powerpnt.exe

- steam.exe

- thebat.exe

- thebat64.exe

- thunderbird.exe

- visio.exe

- winword.exe

- wordpad.exe
À noter également, la société sud coréenne AhnLab a publié un "kill switch" qui permet d'empêcher le chiffrement des données sur un poste infecté par la version 4.1.2 de GrandCrab.

Ce "vaccin" va devancer le malware en créant un fichier XXXX.lock (où XXXX est une chaine de hexadécimale aléatoire créée à partir de l'algorithme Salsa20) dans le répertoire :

C:\Documents and Settings\All Users\Application Data (pour XP)
C:\ProgramData (pour les versions supérieures)

Le malware pensant qu'il a déjà fait le travail de chiffrement, il ne chiffrera pas les données.

Le KillSwitch est disponible ici : http://asec.ahnlab.com/attachment/cfile ... 2634D9.zip
Plus d'infos : http://asec.ahnlab.com/1145

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »