Ragnar Locker

Written By Fahad Rejabo

Ragnar Locker est une famille de ransomware, qui s'est fait connaître fin 2019 lorsqu'elle est devenue tristement célèbre pour avoir affecté de grandes organisations dans de nombreux secteurs, allant des développeurs de jeux vidéo aux entreprises du secteur de l'énergie, et pour avoir tenté d'extorquer de grandes quantités de crypto-monnaies à ses victimes. Ragnar Locker est un ransomware qui affecte les appareils exécutant le système d'exploitation Microsoft Windows.

L'une des caractéristiques de Ragnar Locker est qu'il vise spécifiquement les logiciels de gestion à distance qui sont souvent utilisés par les fournisseurs de services administrés (MSP).

Ragnar Locker affecte également le personnel de sécurité et toute personne qui utilise l'un de ces navigateurs : Navigateur Tor, Internet Explorer, Google, Opera, Opera Software, Mozilla et Mozilla Firefox, etc.

En général, ce malware est distribué manuellement par le biais de la surveillance du réseau et de logiciels pré-distribués sur le réseau. Cela montre que la distribution de Ragnar Locker est une opération légèrement plus complexe que la plupart des campagnes de diffusion de ransomware.

Méthode générale d'attaque

Avant l'exécution du ransomware Ragnar Locker, les attaquants injectent un module capable de collecter les données sensibles des machines infectées et de les télécharger sur leurs serveurs. Ensuite, l'attaquant derrière le malware informe la victime que les fichiers seront rendus publics si la rançon n'est pas payée.

Les attaquants s'infiltrent d'abord dans les réseaux, les infrastructures et les organisations à l'aide de vulnérabilités trouvées ou même par le biais de l'"ingénierie sociale" comme les attaques de phishing. Parallèlement, une reconnaissance et un filtrage des données sont effectués avant l'exécution du ransomware. Lorsque le processus de filtrage des données est terminé, le ransomware est installé.

Lorsque le logiciel ransomware démarre, il répertorie les processus en cours d'exécution et les arrête si l'un de ces services contient des chaînes de caractères spécifiques, telles que : SQL, sauvegarde, etc. Dans ce cas, certains services sont souvent désactivés afin de contourner les mesures de sécurité et d'identifier les systèmes de base de données et de sauvegarde pour augmenter l'impact de l'attaque. Les services de base de données et de messagerie sont également arrêtés afin que leurs données puissent être cryptées pendant le processus d'infection.

Ragnar Locker et d'autres ransomwares utilisent plusieurs techniques pour endommager les sauvegardes des environnements Windows. Avec ce processus en place, il est plus difficile de réparer les dégâts.

Le processus de cryptage

Après cela, Ragnar Locker commencera le processus de cryptage. Ragnar Locker ajoute l'extension codée en dur ".ragnar_ *" qui est ajoutée à la fin du nom du fichier et "*" est remplacé par un ID généré et unique. Tous les fichiers disponibles sur les appareils physiques sont chiffrés, et finalement le processus notepad.exe s'ouvre, affichant le fichier de saisie du mot de passe créé dans le répertoire système de la victime. En détail, une note de rachat est libérée dans chaque dossier. Lorsqu'un fichier est crypté, le curseur de fichier "RAGNAR" est également ajouté à la fin de chaque fichier crypté.

Ce ransomware n'est pas équipé d'un mécanisme permettant de détecter si l'appareil a déjà été infecté. Par conséquent, si le logiciel malveillant atteint le même appareil plusieurs fois, il le crypte encore et encore.

 

Cependant, Ragnar Locker n'est pas exécuté dans les pays de l'ancienne Union soviétique. Ce logiciel malveillant de cryptage des données infecte les ordinateurs en fonction de leurs paramètres linguistiques. Au premier démarrage, Ragnar Locker vérifie les paramètres de langue configurés de Windows. Ragnar Locker termine le processus si le paramètre est configuré comme l'un des pays de l'ex-Union soviétique.

Message de rançon

Un fichier "HOW TO DECRYPT FILES.txt" est ajouté à chaque dossier. Le résumé du message est que la victime ne peut pas décrypter les fichiers sans un programme de décryptage. Ce programme peut être acheté en transférant une somme de Bitcoin dans le portefeuille BTC inclus. Exemple de message (certains détails sont masqués par un "x", l'orthographe et la grammaire ne sont pas corrigées) :

HOW TO DECRYPT FILES.txt - Notepad

YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

DON'T WORRY YOUR FILES ARE SAFE.

TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.

PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.

YOU CAN GET THEM VIA ATM MACHINE OR ONLINE

https://xxxxxxxxxxxx.com/ (find a ATM)

https://www.xxxxxxxxxxxxx.com/ (buy instantly online any country)

THE PRICE FOR DECRYPTOR SOFTWARE IS xxxx$

BTC ADRESS : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (where you need to make the payment)

VERRY IMPORTANT !

DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .

ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.

THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.

For more information : xxxxxxxxx@xxxxxxxx.com (24/7)

Subject: SYSTEM-LOCKED-ID: xxxxxxxxx

Comment se protéger

Comme pour tous les ransomwares et autres logiciels malveillants, il existe des mesures que vous pouvez mettre en œuvre pour réduire le risque de contamination.

  • Utiliser un logiciel anti-virus sur tous les appareils de l'organisation

  • Maintenez tous les appareils à jour, en particulier leurs systèmes d'exploitation respectifs

  • Disposez de procédures de sauvegarde bien établies et bien couvertes.

    • Si possible, les sauvegardes doivent être stockées hors ligne, complètement déconnectées du système primaire

  • Veillez à ce que les employés soient bien sensibilisés à la sécurité, notamment en ce qui concerne le phishing

Fahad Rejabo
Previous

REvil
Next

EDPB RGPD Article 15