SamSam est un logiciel de rançon, supposément développé et propager par le groupe de pirate Shadow Brokers.

Il a beaucoup fait parler de lui après s'être propager dans toute la ville d'Atlanta, ville la plus peuplée de l'État de Géorgie, aux États-Unis, ce qui a coûté 11.500.000 dollars a la municipalité.

Bon, en vérité il n'en est pas a ça première version, il est développé semble-il depuis 2014/2015.

Il c'est propager par des vulnérabilités sur des serveurs qui n'on pas été mis a jours. Bravo les gars.

Le virus demande une rançon en BitCoin, campagne très lucratif car il a fait déja plus de 300.000 dollars.

 

Le code du virus a été crypté en AES pour complexifier la lecture.

 

Sur sont fonctionnement propre, le corps principale du virus contient deux exécutables,

del.exe ou delfiletype.exe (programme SDelete Sysinternals), selfdel.exe est lui utilisé pour effacer les traces du virus.


Il se propage principalement par campagne de spam (mail), il envoie un fichier .docx avec a l'intérieur des macros malveillantes.

Il profite de faille dans les protocole RDP, Java et FTP pour infecté les autres machines présentes sur un réseau.

 

Sinon du coté des utilitaires, on a JexBoss (utiliser sous plusieurs versions), qu'il utilisais entre 2015 et 2016 pour exploiter les applications JBoss.

Mimikatz qui permet de récupéré des données dans la mémoire vive.

reGeorg, un shell reverse proxy (SOCKS4 et SOCKS5) pour accéder a certains hôtes sur le réseau.

Heyna qui est un outil d'administration réseau légitime, permettant entre autre le listing des hôtes et une sorte de scan réseau.

csvde.exe permet d'importer et d'exporter des données a partir des services de domaine Active Directory.

NLBrute est un module d'annaluse par brute force, il permet de chercher les mots de passe des services RDP bénéficiant d'une connexion internet. De ce fait, l'attaquent peux contrôler l'ordinateur infecter a distance si il bénéficie du mot de passe.

Toujours dans la gamme RDP, on a xDedicRDPPatch qui sert a créer des utilisateurs supplémentaire sur un client RDP.

Wmiexec permet l'execition de commande par Windows Management Intrusion.

RDPWrap sert a connecter des comptes d'utilisateur en local, ou distant en même temps.

Des codes de Derusbi (stealer d'information) est présent pour récupéré des données sur le système.

Bladabindi (un autre stealer) cherchera les données de connexion (identifiant et mot de passe).

PsExect sert quand a lui a exécuter des programmes a distance.


SamSam utilise des codes Visual Basic (ho oui!), et des script batchs.
Il servent a automatiser la collecte des nom d'hôtes, analyser la liste, envoyer un paquet ICMP.
Tout les réseau correcte sont en suite enregistré dans le fichier texte ok.txt.

 

SamSam crypte les fichiers avec RSA, sur le système avec une clé individuel par poste.
Il crypt aussi bien fichier sur l'ordinateur, que ceux dans les lecteurs CD, SMB et les disques dur externe présent sur l'ordinateur.
Il crée en suite un fichier HELP_DECRYPT_YOUR_FILES.html.

Il laisse a l'intérieur une charmante lettre:
"Qu'est-il arrivé à vos fichiers?
Tous vos fichiers cryptés avec le cryptage RSA-2048, Pour plus d'informations dans la recherche de cryptage RSA Google’
Comment faire pour récupérer des fichiers?
RSA est un algorithme cryptographie asymétrique, Vous avez besoin d'une clé pour le chiffrement et une clé pour le décryptage
Vous avez donc besoin de la clé privée pour récupérer vos fichiers.
Il est impossible de récupérer vos fichiers sans clé privée
Comment obtenir la clé privée?
Vous pouvez obtenir votre clé privée 3 étape facile:
Stepl: Vous devez nous envoyer 0.7 Bitcoin pour chaque PC touchés OU 3 BitCoins pour recevoir toutes les clés privées pour toutes les personnes touchées PC.
Étape 2: Une fois que vous nous envoyez 0.7 BitCoin, Laisser un commentaire sur notre site avec ce détail: Il suffit d'écrire votre « Nom d'hôte’ dans votre commentaire
Votre nom d'hôte est:
Étape 3: Nous répondrons à votre commentaire avec un logiciel de décryptage, Vous devez l'exécuter sur votre PC affecté et tous les fichiers chiffrés seront récupérés
Notre Adresse du site: http://jcmi5n4c3mvgtyt5.onion/familiarisingly/
Notre BitCoin Adresse: 1MdthqRCJe825ywjdbijsttWBpKanR
(Si vous nous envoyez 3 BitCoins Pour tous les PC, Laisser un commentaire sur notre site avec ce détail: Il suffit d'écrire « Pour PC de tous Affectée’ dans votre commentaire)
(Aussi, si vous voulez payer pour « tous les PC touchés’ Vous pouvez payer 1.5 Bitcoins pour recevoir la moitié des touches(au hasard) et après avoir vérifié qu'il envoie 2ème semestre pour recevoir tous
Comment faire pour accéder à notre site
Pour accéder à notre site, vous devez installer Tor navigateur et saisissez notre site URL dans votre navigateur tor.
Vous pouvez télécharger le navigateur tor https://www.torproject.org/download/download.html.en
Pour plus d'informations recherche Google s'il vous plaît « Comment accéder à des sites d'oignon’
Decryption Test
Consultez notre site, Vous pouvez télécharger 2 les fichiers cryptés et nous décrypter vos fichiers en tant que démo.
Si vous êtes l'inquiétude que vous ne recevez pas vos clés après que vous avez payé, Vous pouvez obtenir une clé gratuitement sur vous choise(à l'exception des serveurs importants), à
Aussi, vous pouvez obtenir une clé unique et si tout seul BTC taht vous PAYÉ à toutes les clés atteint des prix que vous obtiendrez toutes les clés
Quoi qu'il en soit être sûr que vous aurez toutes vos clés si vous avez payé pour eux et nous ne voulons pas nuire à notre fiabilité
avec l'achat de la première clé, vous constaterez que nous sommes honnêtes."

On notera que le virus évite de crypté les fichiers présent dans les répertoires Windows et System, ce qui pourrais empêcher Windows de fonctionner correctement.

Au niveau de ça persistance, elle est inexistante.

Pour cause, une fois vos fichier crypté, vous avez le choix: prendre le risque que vos fichiers restent crypté si vous ne paillez pas,
ou paillez et avoir peux être la chance de voir vos fichier décrypter... La question est a qu'elle prix? Et surtout, qu'elle confiance pouvez vous avoir en un salop qui infecte votre machine pour vous rançonné?

 

Liste de fichiers qu'il crypte:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db-journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar,, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip

Les processus a surveiller:
Nlbrute.exe
r45.exe

Les signatures:
025c1c35c3198e6e3497d5dbf97ae81f
7e50f6e752b1335cbb4afe5aee93e317
58b39bb94660958b6180588109c34f51
710a45e007502b8f42a27ee05dcd2fba
6d390038003c298c7ab8f2cbe35a50b07e096554
f69a4f9407f0aebf25576a4c9baa609cb35683d1
7d21c1fb16f819c7a15e7a3343efb65f7ad76d85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Porte monnaie de BitCoin: 1MddNhqRCJe825ywjdbjbAQpstWBpKHmFR


Et le serveur lié au virus: jcmi5n4c3mvgtyt5.onion
Si vous pouvez le bloqué, bloquez le.

J'inciste sur le fait qu'il ne faut PAS pailler la rançon demander.
Supprimer le virus, et attendez les solutions de décryptage.


Le groupe qui a créer ce virus se présente comme étant les Shadow Brokers.
Je ne remet pas en cause ces "déclarations", toutefois cette équipe c'était illustré l'an dernier par la divulgation des outils de la NSA EternalBlue, DoublePulsar et UnitedRake.

Il n'avais pas vraiment j'usqu'a lors lancé d'attaque, et avais d'ailleur préciser sur leur twitter officiel qu'il n'était que des "courtiers", et pas des pirates.

 

Une enquête du FBI nous permettra certainement d'en savoir plus.