Tout sur les ransomwares

tout sur les ransomware

Vous êtes-vous déjà demandé en quoi consistait toute cette histoire de ransomware? Vous en avez entendu parler au bureau ou en avez entendu parler dans les actualités. Vous avez peut-être une fenêtre contextuelle sur l’écran de votre ordinateur pour vous avertir d’une infection par un ransomware. Eh bien, si vous êtes curieux d’apprendre tout ce qu’il y a à savoir sur les ransomwares, vous êtes au bon endroit. Nous vous expliquerons les différentes formes de ransomware, comment vous l’obtenir, d’où il vient, qui il cible et ce qu’il faut faire pour s’en protéger.

Qu'est-ce qu'un ransomware ?

Les logiciels malveillants de rançon, ou ransomwares , sont un type de malware qui empêche les utilisateurs d’accéder à leur système ou à leurs fichiers personnels et exige le paiement d’une rançon afin de retrouver l’accès. Les premières variantes de ransomware ont été développées à la fin des années 1980 et le paiement devait être envoyé par courrier postal. Aujourd’hui, les auteurs de ransomwares ordonnent que le paiement soit envoyé par crypto-monnaie ou carte de crédit.

ransomware
les ransomwares...
Derrière les ransomwares on retrouve des personnes qui ne sont ni aux 35heures ni en week-end, l'investissement dont ils font preuvent relève d'une veritable envies de nuire.

Comment arrive un ransomware ?

Les ransomwares peuvent infecter votre ordinateur de différentes manières. L’une des méthodes les plus courantes aujourd’hui est le spam malveillant, qui est un courrier électronique non sollicité utilisé pour diffuser des logiciels malveillants. L’e-mail peut inclure des pièces jointes piégées, telles que des PDF ou des documents Word. Il peut également contenir des liens vers des sites Web malveillants.

Malspam utilise l’ingénierie sociale pour inciter les gens à ouvrir des pièces jointes ou à cliquer sur des liens en apparaissant comme légitimes, que ce soit en semblant provenir d’une institution de confiance ou d’un ami. Les cybercriminels utilisent l’ingénierie sociale dans d’autres types d’attaques de ransomwares, comme se faire passer pour le FBI afin de faire peur aux utilisateurs en leur payant une somme d’argent pour déverrouiller leurs fichiers.

Une autre méthode d’infection populaire, qui a atteint son apogée en 2017, est la publicité malveillante . Le malvertising, ou publicité malveillante, est l’utilisation de la publicité en ligne pour distribuer des logiciels malveillants avec peu ou pas d’interaction de l’utilisateur. En naviguant sur le Web, même sur des sites légitimes, les utilisateurs peuvent être dirigés vers des serveurs criminels sans jamais cliquer sur une annonce. Ces serveurs répertorient les détails des ordinateurs victimes et de leur emplacement, puis sélectionnent le logiciel malveillant le mieux adapté à diffuser. Souvent, ce malware est un ransomware . C’est aussi pour cette raison que la technologie Adobe Flash© a été abandonné…

Les types de ransomwares

Il existe trois principaux types de ransomwares, dont la gravité varie de légèrement rebutant à danger aux conséquences terrible voir l’anéantissement total de votre entreprise…

Le Scareware

Le « scareware », en fait, n’est pas si effrayant. Il comprend des logiciels de sécurité malveillants et des escroqueries au support technique. Vous pourriez recevoir un message contextuel affirmant que des logiciels malveillants ont été découverts et que le seul moyen de s’en débarrasser est de payer. Si vous ne faites rien, vous continuerez probablement à être bombardé de pop-ups, mais vos fichiers sont essentiellement à l’abri…

Un logiciel de cybersécurité légitime ne solliciterait pas les clients de cette manière. Si vous ne disposez pas déjà du logiciel de cette (soi-disant) société sur votre ordinateur, elle ne vous surveillera pas pour une infection par ransomware.

 – Si vous possédez un logiciel de sécurité, vous n’avez pas besoin de payer pour que l’infection soit supprimée – vous avez déjà payé le logiciel pour faire ce travail.

Les "Screen lockers"

Passons à l’alerte orange:

. Lorsque le ransomware de l’écran de verrouillage pénètre sur votre ordinateur, cela signifie que vous êtes complètement bloqué. Au démarrage de votre ordinateur, une fenêtre pleine page apparaîtra, souvent accompagnée d’un sceau officiel du FBI ou du département américain de la Justice indiquant qu’une activité illégale a été détectée sur votre ordinateur et que vous devez payer ‘immédiatement) une amende. Cependant, le FBI ne vous exclurait pas de votre propre ordinateur ou n’exigerait pas de paiement pour une activité illégale. S’ils vous soupçonnaient de piratage, de pornographie juvénile ou d’autres cybercrimes, ils passeraient par les voies légales et très appropriées.

L' encrypting ransomware

Ce sont des trucs vraiment méchants. Ce sont eux qui récupèrent vos fichiers et les chiffrent, exigeant un paiement ( souvent en Bitcoin) afin de les déchiffrer et de les renvoyer. La raison pour laquelle ce type de ransomware est si dangereux est qu’une fois que les cybercriminels ont saisi vos fichiers, aucun logiciel de sécurité ou de restauration système ne peut vous les renvoyer. À moins que vous ne payez la rançon – pour la plupart, ils sont partis. Et même si vous payez, il n’y a aucune garantie que les cybercriminels vous les rendent.

Un peu d'histoire

Le premier ransomware, connu sous le nom de PC Cyborg ou AIDS, a été créé à la fin des années 80’s

En 2007, WinLock a annoncé la montée en puissance d’un nouveau type de ransomware qui, au lieu de crypter des fichiers, empêchait les gens d’accéder à leur bureau. WinLock a repris l’écran de la victime et affiché des images pornographiques. Ensuite, il a exigé un paiement via un SMS payant pour les supprimer.

Avec le développement de la famille de rançons Reveton en 2012 est apparue une nouvelle forme de ransomware: le ransomware des forces de l’ordre. Les victimes seraient exclues de leur bureau et se verraient voir une page officielle contenant les informations d’identification des forces de l’ordre telles que le FBI et Interpol. Le ransomware affirmerait que l’utilisateur avait commis un crime, tel que le piratage informatique, le téléchargement de fichiers illégaux ou même être impliqué dans la pornographie juvénile. La plupart des familles de ransomwares d’application de la loi ont exigé une amende allant de 100 $ à 3000 $ avec une carte prépayée telle que UKash ou PaySafeCard.

Les utilisateurs moyens ne savaient pas quoi en penser et pensaient qu’ils faisaient vraiment l’objet d’une enquête de la part des forces de l’ordre. Cette tactique d’ingénierie sociale, maintenant appelée culpabilité implicite, amène l’utilisateur à remettre en question sa propre innocence et, plutôt que d’être appelé pour une activité dont il n’est pas fier, paye la rançon pour que tout disparaisse.

En 2013, CryptoLocker a réintroduit dans le monde le cryptage des ransomwares – mais cette fois, c’était beaucoup plus dangereux. CryptoLocker utilisait un cryptage de niveau militaire et stockait la clé requise pour déverrouiller les fichiers sur un serveur distant. Cela signifiait qu’il était pratiquement impossible pour les utilisateurs de récupérer leurs données sans payer la rançon. Ce type de ransomware de cryptage est toujours utilisé aujourd’hui, car il s’est avéré être un outil incroyablement efficace pour les cybercriminels pour gagner de l’argent. Des épidémies à grande échelle de ransomwares, telles que WannaCry en mai 2017 et Petya en juin 2017, ont utilisé le cryptage de ransomwares pour piéger les utilisateurs et les entreprises du monde entier.

À la fin de 2018, Ryuk a fait irruption sur la scène des ransomwares avec une série d’attaques contre les publications d’information américaines ainsi que la Onslow Water and Sewer Authority de Caroline du Nord. Dans une tournure intéressante, les systèmes ciblés ont d’abord été infectés par Emotet ou TrickBot , deux chevaux de Troie voleurs d’ informations qui sont maintenant utilisés pour fournir d’autres formes de logiciels malveillants comme Ryuk, par exemple. Directeur de Malwarebytes Labs, Adam Kujawa pense qu’Emotet et TrickBot sont utilisés pour trouver des cibles de grande valeur. Une fois qu’un système est infecté et marqué comme une bonne cible pour les ransomwares, Emotet / TrickBot réinfecte le système avec Ryuk.

Récemment, les criminels derrière le ransomware Sodinokibi (une ramification présumée de GandCrab) ont commencé à utiliser des fournisseurs de services gérés (MSP) pour propager des infections. En août 2019, des centaines de cabinets dentaires à travers le pays ont constaté qu’ils ne pouvaient plus accéder à leurs dossiers patients. Les attaquants ont utilisé un MSP compromis, dans ce cas une société de logiciels de dossiers médicaux, pour infecter directement plus de 400 cabinets dentaires à l’aide du logiciel de tenue de dossiers.

Aucun O.S n'est exclus

Que vous fonctionnez avec Windows, que vous possédez un Mac ou que votre mobile fonctionne avec androïd, tous le mon de peux être la victime d’un ransomware.

Le ransomware mobile affiche généralement un message indiquant que l’appareil a été verrouillé en raison d’un type d’activité illégale. Le message indique que le téléphone sera déverrouillé après le paiement des frais. Les ransomwares mobiles sont souvent fournis via des applications malveillantes et nécessitent que vous démarriez le téléphone en mode sans échec et supprimiez l’application infectée afin de récupérer l’accès à votre appareil mobile.

 

Que faire si je suis infecté

La règle numéro un si vous vous trouvez infecté par un ransomware est de ne jamais payer la rançon. (C’est maintenant un conseil approuvé par le FBI et la NSA .) Tout ce que cela fait, c’est d’encourager les cybercriminels à lancer des attaques supplémentaires contre vous ou quelqu’un d’autre. Cependant, vous pourrez peut-être récupérer certains fichiers cryptés à l’aide de décrypteurs gratuits.

Pour être clair: toutes les familles de ransomwares n’ont pas été dotées de décrypteurs, dans de nombreux cas parce que le ransomware utilise des algorithmes de chiffrement avancés et sophistiqués. Et même s’il existe un décrypteur, il n’est pas toujours clair s’il s’agit de la bonne version du malware. Vous ne voulez pas chiffrer davantage vos fichiers en utilisant le mauvais script de déchiffrement. Par conséquent, vous devrez porter une attention particulière au message de rançon lui-même, ou peut-être demander l’avis d’un spécialiste de la sécurité / informatique avant d’essayer quoi que ce soit.

D’autres moyens de traiter une infection par ransomware incluent le téléchargement d’un produit de sécurité connu pour sa correction et l’exécution d’une analyse pour supprimer la menace. Vous ne pourrez peut-être pas récupérer vos fichiers, mais vous pouvez être assuré que l’infection sera supprimée. Pour les ransomwares à verrouillage d’écran, une restauration complète du système peut être nécessaire. Si cela ne fonctionne pas, vous pouvez essayer d’exécuter une analyse à partir d’un CD amorçable ou d’une clé USB.

Si vous souhaitez essayer de contrecarrer une infection par un ransomware crypté en action, vous devrez rester particulièrement vigilant. Si vous remarquez que votre système ralentit sans raison apparente, arrêtez-le et déconnectez-le d’Internet. Si, une fois que vous redémarrez, le logiciel malveillant est toujours actif, il ne pourra pas envoyer ni recevoir d’instructions du serveur de commande et de contrôle. Cela signifie que sans clé ni moyen d’extraire le paiement, le logiciel malveillant peut rester inactif. À ce stade, téléchargez et installez un produit de sécurité et exécutez une analyse complète.