Bonjour,
La fonction d'un Ransomware est de procéder aux chiffrement des documents le principe étant:
1)- Chiffrement:
Au démarrage, le « cryptolocker » vérifie qu'aucune autre instance du programme n'a été lancée. Il contourne l'UAC, et en cas d'échec demandera à l'utilisateur de cliquer sur le bouton « oui ».
Le « locker » s'installe et lance son processus. Il vide la corbeille, supprime les copies de sauvegarde et les points de restauration du système. Le code pirate se balade dans la mémoire. Il visite constamment les supports de stockage: disques durs, lecteurs flash, lecteurs réseau, etc.. Il va balayer le réseau pour détecter les ressources partagées.
Avant de démarrer la numérisation et le chiffrement réels, le code malveillant va générer une clé unique pour chiffrer les fichiers avec l'algorithme AES256. Cette clé va être chiffrée avec l'algorithme RSA2048. Le code va créer un identifiant de la machine impactée à partir de la clé chiffrée.
Si un fichier est verrouillé par un programme ouvert, par exemple un fichier Excel ouvert dans son outil d'origine, le cryptolocker trouvera et fermera le programme qui bloque le fichier, puis essaiera de le chiffrer de nouveau.
Ce programme pirate va chiffrer ses victimes selon le choix du partenaire: Complet (chiffre l'intégralité du fichier) ; en-têtes (chiffre partiellement le fichier) ; exceptions (ne prend pas en otage le fichier). La vitesse de travail dépend grandement des règles sélectionnées par l'affilié. Par défaut, seules les bases de données sont complètement chiffrées, le reste est basé sur les en-têtes, à l'exclusion des fichiers système et .exe. « Vous pouvez spécifier vos paramètres, confirme à ses affiliés le fondateur. Comme la note qui sera sauvegardée dans chaque répertoire chiffré. Chaque partenaire aura une clé de chiffrement unique est générée.
2)- Déchiffrement:
Le déverrouillage des documents pris en otage passe par ce fondateur. Les affiliés n'ont pas accès aux clés privées. Le « client » (le rançonné) fournit sa clé publique, souvent sous la forme d'un fichier texte ou d'une image chiffrée par le ransomware, et c'est le « fondateur » qui se charge du déchiffrement. Le « partenaire » touchera, si paiement il y a, 30% de la somme versée par le client. « Sans clé privée, impossible à déchiffrer. » Le fondateur se garde 70%.
Voilà pour le principe...