Un rançongiciel, comme n’importe quel logiciel, peut contenir des bugs, qui l’empêcheront de fonctionner correctement. Avec un peu de chance, ces bugs offrent l’opportunité aux chercheurs de créer un outil capable de réparer les dégâts causés par le rançongiciel. Mais parfois, ce dernier est tellement mal fait qu’il semble passer à côté de sa mission, pour le meilleur et pour le pire.

C’est le cas de « Black Kingdom », un rançongiciel connu depuis peu, dont Marcus Hutchins a retrouvé la trace. Ce chercheur de chez Kryptos Logic l’a détecté alors qu’il enquêtait sur les cyberattaques qui exploitent ProxyLogon, une suite de vulnérabilités critiques dans un logiciel de Microsoft. Or, un groupe de hacker se sert de ProxyLogon pour rebondir sur les réseaux de ses victimes et y déployer le malware.

Problème : Black Kingdom ne joue pas vraiment le rôle qu’il est supposé avoir. Plus exactement, il suit son script, mais ce script a été extrêmement mal écrit. « Le rançongiciel Black Kingdom est de loin le pire que j’ai jamais vu (…) Il ne détecte pas s’il a déjà été lancé, de sorte que chaque victime que j’ai vue a été chiffrée en boucle au moins 4 fois » détaille Marcus Hutchins sur Twitter.

napster-logo.gif

Derrière le nom sombre « Black Kingdom », des malfaiteurs aux allures de Pieds nickelés. // Source : Louise Audry pour Numerama

Normalement, un rançongiciel doit chiffrer les documents une seule fois, puis déposer une note de rançon sur les appareils infectés avec un moyen pour contacter hackers. Si les victimes paient le montant demandé, les rançonneurs promettent de déchiffrer le contenu des appareils infectés, c’est-à-dire de réparer les dégâts qu’ils ont causés. En empilant les couches de chiffrement, Black Kingdom rend ce travail de réparation bien plus laborieux, voire impossible. Les malfaiteurs pourraient donc être dans l’incapacité de remplir leur promesse.

Un rançongiciel qui empêche de voir la demande de rançon

Le pire, c’est que Black Kingdom ne s’est pas toujours raté de la même façon. Hutchins a d’abord trouvé des systèmes sur lesquels le rançongiciel déposait une note de rançon… alors qu’il n’avait pas chiffré le contenu de l’appareil. Autrement dit, les cybercriminels exigeaient un paiement de 10 000 dollars en bitcoin contre une clé de déchiffrement dont les « victimes » n’avaient pas besoin, puisqu’elles n’étaient pas vraiment victimes de quoi que ce soit.

Les développeurs de Black Kingdom s’en sont rendu compte, et ont corrigé le tir, comme le souligne The Record Media. Désormais, le rançongiciel chiffre bien les fichiers. Sauf qu’il chiffre tous (tous) les fichiers, même ceux qu’il ne devrait pas. Les développeurs n’ont pas mis d’exceptions pour les fichiers .exe, .dll et .sys. Ces fichiers sont nécessaires pour effectuer toutes sortes de fonctions basiques sur vos appareils, comme le simple démarrage de’une session. Résultat : les victimes de Black Kingdom sont dans l’impossibilité de démarrer leurs serveurs, car les fichiers .sys sont chiffrés et donc inactifs. Or, si les victimes ne peuvent pas démarrer leurs appareils, elles ne peuvent pas lire la note de rançon et entrer en contact avec les malfaiteurs. Ces derniers n’ont donc aucune chance d’obtenir un paiement…

D’après le Bleeping Computer, le rançongiciel a fait au moins une dizaine de victimes, et l’entreprise Emsisoft aurait trouvé un moyen de réparer en partie les dégâts causés. Reste à voir si un jour les développeurs de Black Kingdom en feront un rançongiciel fonctionnel comme les autres.

une comparateur meilleur vpn numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.