Attention aux rançongiciels qui tireraient parti des outils de chiffrement intégrés à Windows.
SafeBreach vient d’émettre une alerte dans ce sens.
L’entreprise américaine a développé un malware de ce type. Et mis à l’épreuve trois solutions de sécurité, sur des machines virtuelles équipées de Windows 10 :
Au « premier jet », aucun de ces produits n’avait détecté le rançongiciel.
La situation s’est améliorée depuis lors, à en croire les éditeurs concernés.
SafeBreach avait pris contact avec eux à la mi-2019. Tout en sollicitant une quinzaine d’autres fournisseurs de solutions de sécurité.
Les leaders du marché (d’après le classement d’OPSWAT) ont tous livré une forme de correctif :
EFS (Encrypting File System) est proposé depuis Windows 2000 sur les éditions du système d’exploitation destinées à un usage professionnel.
Il permet de chiffrer des fichiers et des dossiers à la demande – par opposition à Bitlocker, qui chiffre des volumes entiers.
Les opérations se font au niveau du pilote NTFS. Elles sont inivisibles pour l’utilisateur, qui n’a pas d’action à réaliser (la clé dépend en partie du mot de passe de la session Windows).
En exploitant les API cryptographiques de Windows, le rançongiciel de Safebreach :
Le malware présente l’avantage de travailler à bas niveau, sans avoir besoin de privilèges particuliers (au contraire des rançongiciels qui s’en prennent à Bitlocker).
Son action est toutefois trahie par le cadenas jaune qui s’affiche en haut à droite sur l’icône des fichiers et dossiers chiffrés.
On peut par ailleurs le désactiver en coupant EFS (mettre la valeur 1 pour la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration).
Autre solution : les agents de restauration, actifs par défaut sur les machines Windows reliées à des domaines.
Photo d’illustration © Infosec Images via Visual hunt / CC BY
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…