Visitez notre kiosque à CANSEC les 27-28 mai
Livres blancs
·
10.11.2025

MedusaLocker: un ransomware sophistiqué aux clés de chiffrement politiquement chargées

Icone PDF Analyse du rançongiciel MedusaLock

Apparu en septembre 2019, le ransomware MedusaLocker cible principalement le secteur de la santé tout en frappant d'autres industries. Fonctionnant selon un modèle RaaS (Ransomware-as-a-Service), cette menace persistante a évolué vers une version 3 sophistiquée, également connue sous le nom de BabyLockerKZ.

Une architecture modulaire pilotée par JSON

L'analyse technique de StreamScan révèle que MedusaLocker utilise une configuration JSON cryptée avec Chacha20, orchestrant l'ensemble de son comportement malveillant. Cette configuration définit les chemins à épargner, les extensions à ignorer, les processus à terminer, et même le contenu de la note de rançon. L'approche modulaire permet aux attaquants de personnaliser chaque déploiement sans modifier le code source.

Un détail troublant: TRUMP et PUTLER

L'aspect le plus intrigant de cette variante réside dans ses clés de chiffrement. Pour déchiffrer la configuration JSON, MedusaLocker utilise deux clés particulières: "TRUMPTRUMPTRUMPTRUMPTRUMPTRUMPTRUMP" et "PUTLERPUTLER".

Chiffrement hybride multicouche

Le processus de chiffrement combine plusieurs algorithmes. Les clés RSA générées sont stockées dans le registre Windows (HKEY_USERS\SOFTWARE\PAIDMEMES), la clé privée étant chiffrée avec DES. Pour chaque fichier, MedusaLocker génère 0x28 octets aléatoires qui initialisent le chiffrement Chacha20. Le ransomware utilise Windows Restart Manager pour identifier et terminer les processus qui détiennent des descripteurs de fichiers, garantissant un accès complet aux données.

Chiffrement partiel stratégique

Pour accélérer le processus, MedusaLocker chiffre les fichiers par segments de 0x2000 octets, laissant 0x2000 octets non chiffrés entre chaque bloc. Cette technique rend les fichiers totalement inutilisables tout en réduisant considérablement le temps nécessaire. La clé Chacha20 chiffrée (0x100 octets) est ajoutée à la fin du fichier pour permettre le déchiffrement ultérieur. Les fichiers reçoivent l'extension .danger17.

Destruction méthodique des sauvegardes

Avant le chiffrement, MedusaLocker exécute une série de commandes pour éliminer toute possibilité de récupération: vssadmin supprime les clichés instantanés, wbadmin efface les sauvegardes Windows, et bcdedit désactive la récupération système. L'EDR StreamScan détecte et bloque efficacement MedusaLocker grâce à son analyse comportementale.

Articles
·
13.05.2026
Le mythe de la « compensation » des investissements en cybersécurité
Sauvegarde des données: si nous payons pour une meilleure détection et réponse aux menaces, cela ne devrait-il pas réduire notre exposition aux incidents nécessitant une récupération ?
Articles
·
14.04.2026
14 avril 2026 - Le gouvernement du Canada lance le niveau 1 du Programme canadien de certification en cybersécurité
Ce jour 14 avril 2026, le gouvernement fédéral canadien lance officiellement la certification CPCSC (PCCC) Niveau 1 . Elle sera exigée dans les contrats fédéraux à partir de l’été 2026. CPCSC Niveau 1 est composée de 13 contrôles.

Votre sécurité mérite une conversation

Contactez-nous
AccueilPlateforme XDRStreamEnclaveEDRMDRRéponse aux incidentsCertification CMMCCertification PCCCPolitique de confidentialitéPolitique des cookies
PartenairesÀ proposCarrièresBlogueVidéos et webinairesOutilsLivres blancsRecherchesStratégie de cybersécuritéTest d'intrusionContactez-nous
Solutions de cybersécurité de pointes adaptées aux organisations qui évoluent dans des environnements complexes.
Logo de STREAMSCAN avec le slogan '100% pensé pour optimiser'.
StreamScan a besoin des informations que vous nous fournissez pour vous envoyer notre infolettre. Vous pouvez vous désabonner de nos communications à tout moment. Pour plus d'informations, consultez notre politique de confidentialité.