Un nouveau ransomware ciblé nommé AgeLocker utilise l’outil de cryptage «Age» créé par un employé de Google pour crypter les fichiers des victimes.

Hier, un consultant a créé un sujet dans les forums BleepingComputer sur un nouveau ransomware utilisé dans une attaque contre leur client.

Après avoir examiné les fichiers cryptés, il a été découvert qu’un en-tête de texte a été ajouté à chaque fichier commençant par l’URL «age-encryption.org», comme indiqué ci-dessous.

Fichier chiffré AgeLocker
Fichier chiffré AgeLocker

Un exemple d’en-tête de texte ajouté à un fichier crypté est ci-dessous:

age-encryption.org/v1
- X25519 O9LABKJJggKQAsCbCQzPQFz0XwOHXSljEJU2xwS3zHA
Ildq7HXhtndUkpcHnz1+jnFjkpPK8wrVbDSbYXye2wg
--- Rwz4uNO8q6DbP1gbGuSVIA7W2wUKNluxyvMHuAJNIyM

L’URL age-encryption.org vous amène à un référentiel GitHub pour un utilitaire de cryptage appelé ‘Age’ créé par Filippo Valsorda, cryptographe et responsable de la sécurité Go chez Google.

Selon le manuel Age, l’utilitaire a été conçu en remplacement de GPG pour crypter « les fichiers, les sauvegardes et les flux ».

« Il s’agit d’une conception pour un outil CLI de chiffrement de fichiers simple, une bibliothèque Go et un format.
Il est destiné à remplacer l’utilisation de gpg pour chiffrer les fichiers, les sauvegardes, les flux, etc.
Il s’appelle «âge», ce qui pourrait être un acronyme pour Actually Good Encryption, et il se prononce comme le japonais 上 げ (avec un g dur). « 

Au lieu de créer un rançongiciel qui utilise des algorithmes de chiffrement couramment utilisés tels que AES + RSA, les acteurs de la menace derrière AgeLocker semblent utiliser l’outil de ligne de commande Age pour chiffrer les fichiers d’une victime.

L’expert en décryptage des ransomwares, Michael Gillespie, a déclaré à BleepingComputer que Age utilise les algorithmes X25519 (une courbe ECDH), ChaChar20-Poly1305 et HMAC-SHA256, ce qui en fait une méthode très sécurisée pour crypter un fichier.

Infos WEB:  La société Cloud Blackbaud paie les opérateurs de ransomwares pour éviter les fuites de données

BleepingComputer a contacté Valsorda pour voir s’il avait des conseils à proposer aux victimes mais n’a pas eu de réponse.

Note de rançon AgeLocker envoyée …

Voir la source de cette publication