HappyLocker, le ransomware qui vous veut du bien

Qu’ils s’appellent Locky, TelsaCrypt, Petya ou encore l’incontournable CryptoWall, la totalité des ransomwares actuels ne poursuivent qu’un seul objectif : enrichir leur auteur de quelques bitcoins au détriment de la victime.

C’est pourquoi le dernier parasite découvert par l’éditeur MalwareBytes a de quoi surprendre. Baptisé HappyLocker, que l’on pourrait traduire par « le cryptolocker du bonheur », celui-ci n’infecte d’abord que les smartphones et tablettes sous iOS et Android. Mais surtout, il ne réclame pas d’argent à ses victimes. HappyLocker exige de leur part… du temps pour les autres !

Le principe d’infection de HappyLocker est pourtant très similaire à celui de ses cousins plus connus : l’utilisateur imprudent visite un site piégé depuis le navigateur internet de son téléphone, ou il est incité à cliquer sur un lien reçu par un email frauduleux. 

Une fois exécuté HappyLocker prends le contrôle de l’appareil et s’installe durablement (il root pour cela les téléphones Android et jailbreak au passage les iPhones). Il commence alors à chiffrer en tâche de fond les courriers, les applications achetées sur le store officiel, le contenu des éventuelles SDcards sous Android et même les documents stockés sur les applications de partage Cloud tels Dropbox ou Hubic (ce qui en fait une menace qui dépasse largement le cadre du seul smartphone)

Mais c’est seulement une fois son méfait achevé que HappyLocker se distingue vraiment des autres cryptolockers connus. Là où un CryptoWall affiche une longue page d’instructions destinées à expliquer à la victime comment acheter des bitcoins et les transférer à l’auteur, HappyLocker n’affiche qu’une série de règles qui, si elles sont suivies, permettront à la victime de retrouver ses fichiers gratuitement. 

Cela ne sera pas aisé, toutefois. HappyLocker veut que sa victime passe moins de temps le nez collé à l’écran de son smartphone, et qu’elle consacre plutôt son temps à des interactions sociales. Le programme définit ainsi une monnaie virtuelle (le « Smile ») que l’utilisateur pourra accumuler au fil d’interactions sociales réelles (hors smartphone), selon un barème que nous détaillons ci-après.

Et pas question d’essayer de tricher : le cryptolocker va jusqu’à détourner l’appareil photo et le micro du smartphone afin de contrôler l’environnement de la victime et s’assurer ainsi du bon respect des instructions.

Voici les règles telles qu’elles apparaissent dans la version 1.0.2 de HappyLocker :

  • Chaque minute passée le téléphone en main mais la tête relevée et le regard à l’horizontale permet de gagner 1 Smile
  • Chaque minute de discussion alors que le téléphone est posé sur la table sans être tenu en main permet de récupérer un Smile supplémentaire.
  • Chaque SMS reçu et non répondu immédiatement fait gagner 1 Smile.
  • Chaque sexto reçu et non répondu immédiatement fait gagner 50 Smiles

Dans la version actuelle du logiciel, la victime voit ses fichiers déchiffrés automatiquement (et gratuitement) dès qu’elle atteint le compte de 5000 Smiles.

Mais attention, il est également possible de perdre des points :

  • Chaque rafraîchissement de son client email fait perdre deux Smiles.
  • Une liste noire d’expressions est définie par le programme. Prononcer l’une d’entre elles en présence du smartphone fait perdre un Smile. Il s’agit essentiellement d’expressions tirées du vocabulaire geek, tels que « Git », « commit », « noob », « j’peux pas j’ai raid », « Oui mais il n’est pas 4K », « Kernel », « masse d’arme +4 » … Le programme analyse pour l’heure l’anglais, le français, l’allemand et l’espagnol.

La liste des règles et la blacklist sont maintenues à jour via une synchronisation par Fast Flux DNS sur un botnet composé de calculatrices Casio patiemment détournées depuis 1986. Ces listes sont toutefois écrites de manière définitive dans la puce EEPROM du smartphone de la victime. Cela signifie que chaque nouvelle infection disposera d’un jeu de règles et d’un dictionnaire d’expressions interdites plus étoffé, mais que celles-ci ne changeront plus ensuite pour la victime.

Il n’y a pour l’heure aucun moyen de casser le chiffrement opéré par HappyLocker. Le programme semble utiliser un algorithme à base de courbes elliptiques avec une clé de 4096 bits, ce qui suffit à faire jeter l’éponge aux plus puissants calculateurs du moment. D’autant que d’après les premières analyses menées par les chercheurs MalwareBytes, l’implémentation de la couche de chiffrement est réalisée de manière très professionnelle. « Je ne serai pas étonné que l’équipe qui a réalisé HappyLocker ne soit également à l’origine d’autres malwares plus sérieux attribués à des campagnes d’espionnage étatiques », explique Thall Jasha, responsable de la cellule d’analyse chez l’éditeur.

La vague d’infection par HappyLocker ne frappe pour l’instant que l’Europe et les Etats-Unis, où il serait déjà responsable de plusieurs dépressions. Les autorités craignent cependant que ses auteurs ne l’adaptent aux marchés japonais et coréens, où la situation pourrait alors devenir hors de contrôle.   

Lire les articles précédents :
La veille et l’analyse doivent trouver leur place dans la boîte à outils de la sûreté

La tâche du responsable sûreté est double : protéger son entreprise au quotidien contre des actes de basse intensité et...

Fermer