Le Babuk Locker est le premier ransomware découvert en ce début d’année 2021. Initialement identifié comme Vasa Locker en décembre 2020. Plusieurs entreprises ont été la cible de ce rançongiciel. L’une de ses victimes est l’entreprise britannique “Serco” qui est spécialisée dans le dépistage du COVID-19.
Le programme malveillant se présente sous la forme d’un exécutable 32 bits, il utilise la fonction du hashage “SHA256” qui est combinée au chiffrement ChaCha8 avec l’algorithme de génération et d’échange de clés Diffie-Hellman à courbe elliptique “ECDH”. Le but de cette technique robuste est de durcir les clés de chiffrement de ransomware .
Babuk exploite également la fonctionnalité Windows Restart Manager de Microsoft afin de mettre fin à tout processus utilisant des fichiers, ce qui garantit que le malware n’aura aucun obstacle pour ouvrir et chiffrer des fichiers.
Le ransomware utilise une extension “.__ NIST_K571__.” codée en dur qui est ajoutée à chaque fichier chiffré. La note de rançon est nommée “How to restore your file.txt” est créée dans chaque dossier du système compromis. Le contenu de la note indique à chaque victime de prendre contact avec les attaquants via le réseau Tor pour négocier et obtenir la clé de déchiffrement.
Pour note :
https://blog.cyberint.com/babuk-locker
https://www.trendmicro.com/en_us/research/21/b/new-in-ransomware.html
[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.