Une grande famille de Virus

Le Ransomware Dharma est bien connu des chercheurs. Cousin éloigné de CrySiS, un autre ransomware extrêmement dangereux, il crypte les fichiers d'une machine en utilisant la cryptographie asymétrique.

Sa première apparition date de Novembre 2016, en réponse aux clefs de décryptage de CrySiS, publiées sur des forums. Dharma a cependant gardé de nombreuses similarités avec son prédécesseur, notamment une certaine tendance à s'introduire de force dans un réseau en utilisant un port de protocole d'accès à distance dont le mot de passe ne serait pas trop compliqué à craquer…

Depuis, des clefs de décryptage sont également apparues pour Dharma. C'est pourquoi de nombreuses nouvelles variantes ont été créées, entre autres "id arrow" en mars 2018, "bip" en mai 2018,… jusqu'à cet été.

Un combo contre les protocoles d'accès distant 

Le 23 juillet 2018, Michael Gillepsie, chercheur en cybercriminalité et créateur du site ID Ransomware (service gratuit d'identification de virus), a détecté une nouvelle version de Dharma, appelée "Combo".

New variant of #Dharma #Ransomware spotted on ID Ransomware, using extension ".id-<id>.[<email>].combo" format. pic.twitter.com/7S7glQbZS3

— Michael Gillespie (@demonslay335) 23 juillet 2018

On apprend que cette version est installée manuellement par les hackers, à travers le protocole d'accès distant. Aucune erreur humaine n'est donc à déplorer, à part peut-être un mot de passe wifi trop faible… Les pirates informatique sont physiquement présents (près du réseau). Ils scannent Internet à la recherche d'accès à infiltrer, utilisant généralement le port TCP 3389 - Remote Desktop Protocol - et tentent de craquer le mot de passe.

Une fois que l'accès est ouvert, il peuvent installer le ransomware sur les machines disponibles et lancer le cryptolocker sur tous les ordinateurs et serveurs du réseau.

Dès qu'un poste est touché, tous ses fichiers et ses applications voient apparaître une extension ".cmb" ou ".combo". Deux autres fichiers sont également créés pour expliquer la procédure à suivre pour payer une rançon sensée délivrer la clef de décryptage. En général, le montant de ces rançons se situent entre 500 et 1000 euros. Nous rappelons qu'il est toujours très fortement déconseillé de payer la rançon, il n'y a absolument aucune garantie de recevoir la clef de décryptage, ni que celle-ci fonctionne. 

Comment se protéger contre le virus Dharma Combo

Pour protéger ses données contre Dharma et contre n'importe quel ransomware, la seule véritable solution efficace est de sauvegarder quotidiennement l'intégralité de ses données par un logiciel professionnel. En effet, le seul moyen de récupérer ses fichiers après une cyberattaque est leur restauration intégrale, comme le dit Michael Gillepsie, en réponse aux victimes de ce virus.

Ensuite, il faut bien évidemment s'assurer d'avoir un accès distant correctement protégé : Aucun ordinateur en itinérance ne devrait être directement connecté à Internet, mais utiliser un protocole VPN. Sans parler des mots de passe qui doivent être de niveau élevé et régulièrement modifiés.

Enfin, il existe des logiciels spécialisés dans la protection contre les ransomwares qui intègrent des moyens de détection par comportement et pas seulement par signature.

Découvrez le témoignage d'une association d'aide à la personne qui a été touchée par Dharma, fin septembre : 

"C'est la première fois que nous avions à faire face à une attaque de cette ampleur, mais je savais que nous avions une sauvegarde grâce à laquelle j'allais pouvoir moi-même restaurer les machines et reprendre le travail." Monsieur G., Comptable de l'Association d'aide à la personne

Petit rappel des bonnes règles d'usage numérique :

• Sauvegarder, sauvegarder et toujours sauvegarder !
• N'ouvrez aucune pièce-jointe ni aucun lien dont vous n'êtes pas à 100% sûr
• Installez toujours immédiatement les mises à jour Windows, Mac, mais aussi Java, Flash, etc.
• Munissez-vous d'un antivirus efficace contre les malwares
• Utilisez des mots de passe forts, et n'utilisez jamais 2 fois le même
• Si vous avez des postes en itinérance, utilisez un accès VPN.

Découvrez toutes les bonnes pratiques en matière de mots de passe avec la fiche dédiée de Cybermalveillance.gouv.

Et pour information, vous trouverez ci-dessous la liste des extensions de fichiers cryptés par les versions de Dharma toujours actives à ce jour :

.cesar, .onion, .dharma, .wallet, .zzzzz, .arena, .cezar, .java; .write; .bip; .java2018@tuta io.arrow; .combo; .brrr; .gamma; .bkp.

Et vous, quel est votre niveau de sécurité ? Vos accès distants sont-ils protégés ? Comment gérez-vous vos mots de passe ?

Vous pouvez poser gratuitement vos questions à un conseiller en cybersécurité, n'hésitez pas !

Vous pouvez nous laisser un commentaire si vous avez des remarques ou plus d'informations sur le sujet !