Researcher Identifies Hades Locker Ransomware

Hades Locker : décrypter vos fichiers de l'imitation de Locky

Share with your network!

Présentation d'Hades Locker

Le 4 octobre dernier, Proofpoint a démasqué un nouveau ransomware appelé Hades Locker, qui reproduit le message de rançon de Locky. Hades Locker semble être une évolution des logiciels rançon Zyklon Locker et Wildfire Locker[1], déjà observés en début d'année sur le même botnet d'envoi (Kelihos[2]). Les campagnes CryptFile2 et MarsJoke[3] récemment documentées utilisaient le même botnet d'envoi de spam et des techniques de propagation similaires (faux messages électroniques liés au transport). Toutefois, alors que les campagnes CryptFile2 et MarsJoke ciblaient les administrations nationales et locales, la campagne Hades Locker actuelle vise elle les marchés verticaux des activités de services et de fabrication.

Campagnes d'e-mails

Le 4 octobre, Proofpoint détectait une campagne de messages électroniques associés au ransomware Hades Locker. Ces e-mails contenaient des adresses URL conduisant à un document Microsoft Word intitulé « levering-1478529.doc » (chiffres aléatoires ; le terme « levering » signifiant livraison en néerlandais), hébergé dans divers sites correspondant à des domaines récemment enregistrés, apparemment créés uniquement pour les besoins de cette campagne. Il s'agit là d'une rupture avec les campagnes par pièces jointes, plus fréquentes, que nous avons pu observer récemment avec un large éventail de logiciels malveillants, et notamment avec le ransomware Locky, largement diffusé, mais qui reprend la technique déjà observée lors de la campagne MarsJoke.

Document téléchargeant la charge utile finale d'Hades Locker

Figure 1 : Document téléchargeant la charge utile finale

Plutôt limitée (quelques centaines de messages), cette campagne ciblait essentiellement les marchés verticaux des activités de services et de fabrication d'Europe de l'ouest.

Analyse du ransomware Hades Locker

Pour alerter ses victimes et leur faire savoir que leurs fichiers sont désormais cryptés, ce ransomware crée et dissémine plusieurs types de fichiers dans leur système de fichiers, à l'instar de la plupart des autres types de ransomware :

  • README_RECOVER_FILES_[16 chiffres].txt
  • README_RECOVER_FILES_[16 chiffres].html
  • README_RECOVER_FILES_[16 chiffres].png

Une nouvelle extension est ajoutée aux fichiers cryptés, par exemple « .~HL233XP », « .~HLJPK1L » ou « .~HL0XHSF ». Les quatre premiers caractères de la nouvelle extension, « .~HL », sont toujours les mêmes, tandis que les 5 caractères restants varient.

Fichier HTML de demande de rançon d'Hades Locker

Figure 2 : Modification de l'extension des fichiers

Le message de rançon s'affiche sur le Bureau de la victime sous forme de fichiers texte et HTML et d'une image.

Page d'arrivée pour décrypter Hades Locker

Figure 3 : Image de la demande de rançon dans Hades Locker

Onglet assistance de la procédure de décryptage d'Hades Locker

Figure 4 : Fichier texte de la demande de rançon Hades Locker

Onglet didacticiel de décryptage d'Hades Locker

Figure 5 : Fichier HTML de la demande de rançon Hades Locker

Le message invite instamment la victime à « acheter le mot de passe de décryptage pour récupérer ses fichiers ». Pour ce faire, la victime est invitée à consulter une page Web ou un site « oignon ». Actuellement, le site de décryptage demande un bitcoin (600 USD au taux de change actuel) en échange de l'outil de décryptage.

Similitudes entre Hades Locker et le ransomware Locky

Figure 6 : Page d'arrivée dans le site de décryptage d'Hades Locker

L'onglet « Helpdesk » (ou Assistance) permet à l'utilisateur d'envoyer un exemple de fichier crypté, contre la promesse des auteurs de l'attaque de le renvoyer décrypté dans les 24 heures. Le but est ici de prouver que le décryptage d'Hades Locker fonctionne et d'inciter les victimes à payer la rançon demandée.

Textes de demandes de rançon de Locky et d'Hades Locker

Figure 7 : Onglet Helpdesk permettant de chatter avec les auteurs du logiciel malveillant

Pour finir, un « Didacticiel de décryptage » (Decryption Tutorial) est présenté à la victime, pour l'aider à exécuter l'outil de décryptage disponible après versement de la rançon. Nous ne savons pas si l'utilisateur obtient réellement cet outil.

Trafic réseau d'Hades Locker

Figure 8 : Onglet « Decryption Tutorial »

Similitudes avec le ransomware Locky

Par certains aspects, et au moins visuellement, Hades Locker semble imiter le ransomware Locky. La Figure 9 souligne par exemple les similitudes observées dans le message de rançon présenté à l'utilisateur.

Hades Locker - Enregistrement auprès du serveur C&C

Figure 9 : Similitudes entre les demandes de rançon d'Hades Locker (à gauche) et de Locky (à droite) L'image de demande de rançon du ransomware Locky présentée ici correspond à une ancienne version ; les versions suivantes sont légèrement plus sophistiquées.

Modification de l'extension des fichiers du ransomware Hades Locker

Figure 10 : Similitudes dans les textes de demande de rançon, utilisés pour Hades Locker (à gauche) et Locky (à droite)

Nous n'avons pas vérifié s'il s'agissait d'une simple imitation, d'une réutilisation du même code ou d'un véritable lien entre ces deux variantes de ransomware.

Analyse du trafic réseau

Le logiciel malveillant commence par envoyer une requête à ip-api.com pour tenter d'identifier l'adresse IP externe, la région, le pays et l'opérateur réseau de la victime. Il tente ensuite de s'enregistrer auprès d'un serveur de commande et de contrôle (C&C) à travers l'un de ses domaines codés en dur.

Message de rançon d'Hades Locker

Figure 11 : Observation du trafic Hades Locker pendant l'exécution du logiciel malveillant

Lors de l'enregistrement auprès du serveur C&C, nous avons pu observer que les valeurs de certains champs sont collectées, par exemple l'identifiant unique, l'identifiant de suivi (probablement un ID de campagne), le nom de l'utilisateur et de l'ordinateur, l'adresse IP externe et le pays de la victime (valeurs déterminées via l'appel à ip-api.com). Le serveur répond par un message d'état et un champ de mot de passe (« PASSWORD ») en texte clair. Nous pensons que ce mot de passe peut être utilisé pour le décryptage, et rend ce dernier inutile si la victime capture le trafic réseau.

Fichier texte de rançon du ransomware

Figure 12 : Enregistrement auprès du serveur C&C

Conclusion

Hades Locker est la dernière version des incessantes variantes de ransomware déjà observées sur le terrain. Il semble que le botnet Kelihos ait servi à transmettre les deux prédécesseurs de Hades Locker (Wildfire et Zyklon), ainsi que les campagnes CryptFile2 et MarsJoke récemment décrites. Le ransomware lui-même imite visuellement les versions précédentes de Locky, mais quelle que soit la filiation exacte des variantes, les rançons augmentent et les escrocs étudient de nouvelles méthodes de propagation, par exemple des liens vers un logiciel malveillant hébergé. Comme les ransomwares se banalisent peu à peu et que leurs variantes partagent fonctionnalités et apparence, nous continuons à surveiller l'évolution de ce marché et son impact sur les entreprises et les particuliers.

Références

  1. https://blog.kaspersky.com/wildfire-ransomware-decryptor/12828/
  2. http://garwarner.blogspot.com/2016/07/kelihos-botnet-delivering-dutch.html
  3. https://www.proofpoint.com/fr/threat-insight/post/MarsJoke-Ransomware-Mimics-CTB-Locker

Indicateurs de compromission (IOC)

IOC

Type d'IOC

Description

hxxp://transportbedrijfvanetten[.]nl/downloads/levering-7834535.doc

URL

URL incluse dans l'e-mail

hxxp://leursmatransport[.]nl/downloads/levering-1245789.doc

URL

URL incluse dans l'e-mail

hxxp://transportbedrijfbrenninkmeijer[.]nl/downloads/levering-739176.doc

URL

URL incluse dans l'e-mail

hxxp://breesmanstransport[.]nl/downloads/levering-1478529.doc

URL

URL incluse dans l'e-mail

hxxp://185.45.193[.]169/update.exe

URL

Charge utile (Hades Locker) téléchargée par les documents

37004c5019db04463248da8469952af8ed742ba00cfa440dd65b2d94d0856809

SHA256

Update.exe (Hades Locker)

hxxp://pfmydcsjib[.]ru/config.php

URL

Hades Locker C2

hxxp://jdybchotfn[.]ru/config.php

URL

Hades Locker C2

Sélectionnez les signatures ET susceptibles de se déclencher sur un tel trafic :

2822388 || Enregistrement du ransomware TROJAN ETPRO MSIL/HadesLocker