Ransomware: Exemples et Tendances en 2023

Le ransomware est un logiciel malveillant qui chiffre les fichiers sur l'ordinateur de la victime et demande ensuite le paiement d'une rançon. L'injection de ransomware est l'une des formes les plus dangereuses d'attaques informatiques.

Vous pourriez ĂȘtre intĂ©ressĂ© par nos autres outils antivirus:
Trojan Killer, Trojan Scanner and Free Online Checker.

Qu'est-ce que le Ransomware? Exemples et Tendances en 2023 | Gridinsoft

Qu'est-ce que le Ransomware?

September 07, 2023

Il est fort probable que le pire cauchemar soit de découvrir que les fichiers sur votre PC sont chiffrés. Vous vérifiiez votre boßte de réception et cliquiez sur les fichiers joints pour voir ce qu'ils contenaient. Le fichier étrange, qui n'offrait rien d'autre que d'activer les macros, ne semblait pas suspect. Mais soudain, moins de 15 minutes aprÚs avoir ouvert ce document, vous constatez que tous les fichiers sur votre PC ont des extensions étranges, et au moins un fichier readme.txt se trouve dans chaque dossier. Comment cela s'est-il produit?

La dĂ©finition succincte du ransomware est cachĂ©e dans son nom, tout comme dans de nombreux autres virus. Le "logiciel de rançon" est un programme qui s'infiltre dans votre ordinateur, chiffre vos fichiers, puis vous demande de payer une rançon pour rĂ©cupĂ©rer vos fichiers. Certains exemples de ransomwares menacent leurs victimes en leur disant qu'elles supprimeront leurs fichiers ou publieront des donnĂ©es sensibles si elles ne paient pas la rançon. Alors que le premier danger est un mensonge Ă  100%, la deuxiĂšme thĂšse peut ĂȘtre rĂ©elle car les ransomwares sont souvent propagĂ©s avec des logiciels espions ou des voleurs.

Divers exemples de ransomwares utilisent diffĂ©rentes mĂ©thodes de chiffrement. La plupart du temps, les principes de chiffrement AES-256 et RSA-1024 sont utilisĂ©s, mais vous pouvez parfois rencontrer des normes utilisant RSA-2048. Le nombre Ă  la fin signifie principalement le degrĂ© auquel vous devez Ă©lever deux pour obtenir le nombre de clĂ©s possibles. MĂȘme dans le cas de l'AES-256, le nombre de clĂ©s est un nombre Ă  78 chiffres. Pouvez-vous le casser par la force brute? Peut-ĂȘtre, si vous avez 2 millions d'annĂ©es Ă  perdre. Ou un ordinateur quantique beaucoup plus performant que tous ceux actuellement existants. ~ Équipe Gridinsoft

Pour chaque victime, le ransomware génÚre une clé en ligne unique. Cette clé est stockée sur le serveur maintenu par les cybercriminels. Si le virus ne peut pas se connecter à ce serveur, il chiffre les fichiers avec la clé hors ligne, qui est stockée localement sur la machine infectée. Le nombre de clés hors ligne est limité. Par conséquent, vous avez une clé de décryptage en commun avec plusieurs autres victimes.

Malheureusement, il n'y a aucune garantie Ă  100% de rĂ©cupĂ©rer vos fichiers. Si vous avez de la chance et que le ransomware utilise la clĂ© hors ligne, vous pouvez dĂ©crypter vos donnĂ©es beaucoup plus rapidement. Cependant, l'obtention des clĂ©s prend du temps, et vous devrez peut-ĂȘtre attendre plusieurs semaines. L'application de dĂ©cryptage, censĂ©e ĂȘtre utilisĂ©e pour le dĂ©cryptage des fichiers, recevra la mise Ă  jour avec la clĂ© qui vous convient dĂšs que les analystes la trouveront.

Les clĂ©s en ligne sont beaucoup plus difficiles Ă  rĂ©soudre. Comme chaque clĂ© est unique, vous pouvez attendre des mois. Les distributeurs de ransomwares seront probablement capturĂ©s et contraints de divulguer toutes les clĂ©s qu'ils ont sur les serveurs. Une autre situation oĂč toutes les clĂ©s sont rendues publiques est lorsque les crĂ©ateurs de ransomwares dĂ©cident de mettre fin Ă  leurs activitĂ©s malveillantes. Cela ne s'est produit qu'une seule fois, en 2018, lorsque les dĂ©veloppeurs de GandCrab ont affirmĂ© avoir gagnĂ© 2 milliards de dollars et ont suspendu leur activitĂ©.

Étapes de l'attaque par ransomware

La plupart des analystes dĂ©finissent les six principales Ă©tapes d'une attaque par ransomware. Elles peuvent se produire en une seule journĂ©e ou en un mois. Cependant, l'ordre, ainsi que le sens de ces Ă©tapes, reste toujours le mĂȘme.

Compromission. On l'appelle parfois aussi injection initiale. À ce stade, les attaquants injectent le logiciel malveillant dans le rĂ©seau (ou dans l'appareil s'il s'agit d'une attaque contre l'utilisateur individuel). La compromission se fait gĂ©nĂ©ralement par le biais de violations RDP, de spam par e-mail, ou de l'utilisation de logiciels non autorisĂ©s.

Infection. À ce stade, les escrocs utilisent la prĂ©sence initiale dans le rĂ©seau pour injecter la charge malveillante. Ils n'utilisent que rarement des tĂ©lĂ©chargements directs, car cela est facile Ă  dĂ©tecter et Ă  prĂ©venir avec des solutions de sĂ©curitĂ©. C'est pourquoi le tĂ©lĂ©chargement de logiciels malveillants exploite gĂ©nĂ©ralement des failles de Windows et des logiciels d'application. Cependant, il peut prĂ©fĂ©rer le tĂ©lĂ©chargement direct lorsqu'il frappe un rĂ©seau non protĂ©gĂ© ou un utilisateur unique.

ÉlĂ©vation. Tous les logiciels malveillants ont besoin de s'exĂ©cuter avec des privilĂšges administratifs. Cette propriĂ©tĂ© permet de rĂ©duire le risque liĂ© aux logiciels malveillants en utilisant le compte avec des privilĂšges utilisateur. Cependant, mĂȘme dans ce cas, les cybercriminels peuvent trouver un moyen de contourner cette restriction. La plupart des Ă©tapes d'escalade dans les rĂ©seaux d'entreprise sont effectuĂ©es par l'exploitation de vulnĂ©rabilitĂ©s, en particulier celles qui permettent d'escalader les privilĂšges.

Scan. Cette étape suppose de scanner la ou les machines infectées pour détecter tous les fichiers que le ransomware peut chiffrer. Généralement, les ransomwares ciblent les formats de données les plus sensibles, tels que les fichiers MS Office, les images et la musique. Cependant, certains agissent différemment et chiffrent tout ce qu'ils atteignent, quel que soit le fichier, ce qui peut nuire à la fonctionnalité des programmes.

Chiffrement. Le chiffrement peut prendre quelques minutes ou quelques heures, en fonction du nombre de fichiers sur les machines attaquĂ©es, de l'algorithme utilisĂ© et de la qualitĂ© du logiciel de chiffrement. Le ransomware le plus rapide connu Ă  ce jour, Rorschach, peut chiffrer 220 000 fichiers en seulement 4,5 minutes. Les ransomwares les plus largement utilisĂ©s peuvent prendre des heures pour accomplir la mĂȘme tĂąche.

Jour de paiement. Une fois le chiffrement terminĂ©, le logiciel malveillant informe la victime de l'attaque. Il gĂ©nĂšre gĂ©nĂ©ralement un fichier de note de rançon sur le bureau et dans chaque dossier contenant des fichiers chiffrĂ©s. Facultativement, il peut Ă©galement changer le fond d'Ă©cran du bureau pour y afficher la note de rançon. Dans les cas les plus extrĂȘmes (comme le ransomware Petya), le logiciel malveillant infectera le chargeur de dĂ©marrage et affichera la banniĂšre de la note de rançon lorsque vous appuierez sur le bouton d'alimentation au lieu de charger le systĂšme d'exploitation.

Étapes de l'Attaque par Ransomware
Étapes de l'Attaque par Ransomware

Types de ransomwares

Il existe plusieurs types de ransomwares actuellement en circulation. Tous les utilisateurs de la communauté de la cybersécurité sont familiarisés avec le type de ransomware appelé crypto. C'est précisément le virus dont vous pouvez lire ci-dessus. Un autre type de ransomware était actif bien avant 2014. On l'appelait ransomware locker. Comme son nom l'indique, ce virus verrouillait votre systÚme et demandait une rançon pour déverrouiller votre bureau. Laissez-moi vous montrer la différence essentielle entre le ransomware locker et le crypto-ransomware:

Ransomware locker:


  • Bloque votre bureau ;
  • Couvre le bureau avec une banniĂšre de note de rançon ;
  • Modifie les clĂ©s de registre responsables du fonctionnement de l'Explorateur Windows ;
  • Suspend le processus explorer.exe ;
  • Bloque la plupart des combinaisons systĂšme (Ctrl+Alt+Suppr, Ctrl+Maj+Échappement) ;
  • Certaines versions peuvent infecter le BIOS, rendant impossible le chargement du systĂšme ;
  • Parfois, il peut ĂȘtre facilement supprimĂ© aprĂšs des manipulations astucieuses avec les fonctions systĂšme ;
  • Vous demande de payer une rançon sous forme de rechargement de numĂ©ro de tĂ©lĂ©phone portable, ainsi que via des systĂšmes de paiement en ligne (PayPal, WebMoney, Qiwi, etc.) ;

Crypto ransomware:


  • Chiffre les fichiers avec les extensions les plus courantes (.docx, .png, .jpeg, .gif, .xslx), et leur ajoute une extension spĂ©cifique ;
  • Modifie les clĂ©s de registre responsables du rĂ©seau et du lancement des programmes au dĂ©marrage ;
  • Ajoute un fichier .txt contenant les instructions de paiement de la rançon Ă  chaque dossier oĂč se trouvent les fichiers chiffrĂ©s ;
  • Peut bloquer l'accĂšs Ă  certains sites web ;
  • EmpĂȘche le lancement des fichiers d'installation de logiciels anti-malveillants ;
  • Peut changer votre fond d'Ă©cran pour afficher une note de rançon ;
  • Le paiement de la rançon doit ĂȘtre effectuĂ© uniquement en utilisant des cryptomonnaies, principalement le Bitcoin ;

DerniĂšres attaques de ransomware

Liste des familles de ransomware, actuelles pour September, 2023:

  • Ransomware Avaddon est apparu briĂšvement mais a Ă©tĂ© trĂšs actif: ses dĂ©veloppeurs ont dĂ©cidĂ© de mettre fin Ă  leurs activitĂ©s en mai 2021.
  • Ransomware STOP Djvu est l'une des familles de ransomwares les plus rĂ©pandues. La premiĂšre activitĂ© de ce type de virus a Ă©tĂ© dĂ©tectĂ©e en 2018, et son activitĂ© est toujours trĂšs Ă©levĂ©e. Ciblant principalement les utilisateurs simples, ce ransomware peut ĂȘtre un exemple parfait d'un ransomware "classique".
  • Ransomware Conti. Ce groupe criminel cible les organisations oĂč les pannes informatiques peuvent avoir des consĂ©quences graves pour la vie: les hĂŽpitaux, les services de rĂ©partition du 911, les services mĂ©dicaux d'urgence et les agences de maintien de l'ordre. Le groupe s'est dissous Ă  la mi-2022, Ă  la suite d'un conflit entre ses membres.
  • Ransomware Matrix est un ancien de la scĂšne des ransomwares, apparu en dĂ©cembre 2016.
  • Ransomware MedusaLocker est apparu en septembre 2019 et a connu un dĂ©marrage trĂšs rapide avec des attaques contre des entreprises du monde entier.
  • Ransomware Snatch utilise le stratagĂšme du Mode sans Ă©chec de Windows et d'un service privilĂ©giĂ©.
  • Ransomware VoidCrypt utilise plusieurs fonctionnalitĂ©s plus typiques des virus orientĂ©s vers les entreprises.
  • Ransomware Xorist utilise un crypto-constructeur et peut se modifier tellement qu'il est difficile de le reconnaĂźtre.
  • Ransomware Dharma est apparu vers 2016, cette famille de ransomware vise les petites entreprises. PrĂšs de 77% de tous les cas de Dharma sont liĂ©s Ă  l'exploitation des vulnĂ©rabilitĂ©s RDP.
  • Ransomware Egregor a attaquĂ© de grandes entreprises du monde entier.
  • Ransomware HiddenTear - Initialement crĂ©Ă© Ă  des fins Ă©ducatives.
  • Ransomware LockBit est un ransomware extrĂȘmement rapide.
  • Ransomware Magniber a tentĂ© d'utiliser une vulnĂ©rabilitĂ© bien connue de PrintNightmare pour compromettre les victimes.
  • Ransomware Makop ne se limite pas Ă  un seul algorithme de chiffrement.
  • Ransomware Ryuk est un ancien de la scĂšne, possiblement liĂ© Ă  des hackers nord-corĂ©ens.

Est-ce une solution de payer la rançon?

La majoritĂ© des revenus des dĂ©veloppeurs de ransomwares sont utilisĂ©s pour financer diverses activitĂ©s criminelles, telles que le terrorisme, d'autres campagnes de distribution de logiciels malveillants, le trafic de drogues, etc. Étant donnĂ© que tous les paiements de rançon sont effectuĂ©s en cryptomonnaies, il n'y a aucun moyen de dĂ©couvrir l'identitĂ© des escrocs. Cependant, les adresses e-mail peuvent parfois rĂ©vĂ©ler les distributeurs de ransomwares au Moyen-Orient.

Comme vous pouvez dĂ©jĂ  le conclure, payer la rançon Ă©quivaut Ă  participer Ă  des activitĂ©s criminelles. Bien sĂ»r, personne ne vous accusera de financer le terrorisme. Mais il n'est pas agrĂ©able de comprendre que l'argent que vous gagnez honnĂȘtement est dĂ©pensĂ© pour le terrorisme ou la drogue. Souvent, mĂȘme de grandes entreprises qui sont victimes de chantage avec des menaces de publication de donnĂ©es internes ne paient pas un centime Ă  ces escrocs.

Comment puis-je protéger mon ordinateur contre le ransomware?

En gĂ©nĂ©ral, les programmes anti-malveillants mettent Ă  jour leurs bases de donnĂ©es de dĂ©tection chaque jour. GridinSoft Anti-Malware peut vous offrir des mises Ă  jour toutes les heures, ce qui rĂ©duit les chances qu'un tout nouveau Ă©chantillon de ransomware s'infiltre dans votre systĂšme. Cependant, l'utilisation d'un logiciel anti-malveillant n'est pas une panacĂ©e. Vous devez ĂȘtre prudent dans tous les endroits Ă  risque. Ceux-ci comprennent:

  • Les messages Ă©lectroniques. La plupart des cas de ransomware, quelle que soit la famille, sont liĂ©s Ă  des messages Ă©lectroniques malveillants. Les gens ont l'habitude de faire confiance Ă  tous les messages envoyĂ©s par e-mail et ne pensent pas qu'un fichier malveillant puisse se cacher dans la piĂšce jointe. Pendant ce temps, les cybercriminels exploitent cette faiblesse et incitent les gens Ă  activer les macros dans les fichiers Microsoft Office. Les macros sont une application spĂ©cifique qui permet d'augmenter l'interaction avec le document. Vous pouvez construire n'importe quoi en Visual Basic et l'ajouter au document en tant que macros. Les escrocs ajoutent sans rĂ©flĂ©chir le code de ransomware.
  • Les utilitaires douteux et les programmes non fiables. Vous pouvez trouver divers conseils en parcourant le Web. Les forums en ligne, les rĂ©seaux sociaux et les rĂ©seaux de partage - ces endroits sont connus comme sources de divers outils spĂ©cifiques. Et il n'y a rien de mal Ă  de tels logiciels - parfois, les gens ont besoin de fonctions qui ne sont pas demandĂ©es (ou acceptĂ©es) pour la production d'entreprise. Ces outils sont appelĂ©s des keygens pour diverses applications, des activateurs de clĂ©s de licence (KMS Activator est l'un des exemples les plus cĂ©lĂšbres). Cependant, vous devez vous rappeler que tous les logiciels douteux doivent ĂȘtre installĂ©s avec des paramĂštres de base. Et ĂȘtre supprimĂ© aprĂšs leur utilisation. Ces programmes ne doivent pas ĂȘtre laissĂ©s dans le systĂšme.
  • Les failles dans Windows. Les ransomwares utilisent constamment des failles dans Windows. Toutefois, Microsoft effectue des correctifs chaque mois. NĂ©gliger la mise Ă  jour de votre systĂšme d'exploitation Ă©quivaut Ă  garder les portes de la maison ouvertes pour tous les voleurs. Cependant, les mises Ă  jour ne sont pas l'outil ultime pour Ă©liminer tous les problĂšmes. Lisez les derniĂšres nouvelles sur les vulnĂ©rabilitĂ©s dans le systĂšme d'exploitation, car Microsoft ne signale pas toutes les vulnĂ©rabilitĂ©s connues. Parfois, ces informations sont divulguĂ©es par des analystes indĂ©pendants. Une autre source est les forums de sĂ©curitĂ© sur Internet.

MĂȘme en prenant en compte tous les conseils ci-dessus, il n'est pas possible de garantir une protection Ă  100%. Cependant, il est important de faire de son mieux pour minimiser les risques. Les solutions de sĂ©curitĂ© informatique, les mises Ă  jour rĂ©guliĂšres et la vigilance en ligne sont des Ă©lĂ©ments clĂ©s de la protection contre les ransomwares.

Une chronologie des plus grandes attaques de ransomwares :

En résumé

Le ransomware est un type de logiciel malveillant qui chiffre les fichiers de la victime et demande ensuite une rançon en échange de la clé de déchiffrement. Les ransomwares sont souvent distribués via des e-mails de phishing, des sites web malveillants et des téléchargements de logiciels piratés. Pour se protéger contre les ransomwares, il est essentiel de maintenir un logiciel de sécurité à jour, d'éviter les téléchargements suspects et de faire preuve de prudence en ligne. Le paiement de la rançon n'est généralement pas recommandé, car il n'y a aucune garantie que les cybercriminels fourniront la clé de déchiffrement.

Il est essentiel de prendre des mesures pour protĂ©ger vos donnĂ©es contre les ransomwares, car une fois que vos fichiers sont chiffrĂ©s, leur rĂ©cupĂ©ration peut ĂȘtre trĂšs difficile, voire impossible.

N'hésitez pas à partager cet article pour informer d'autres personnes sur les dangers des ransomwares et sur les moyens de se protéger contre eux.

Foire Aux Questions

Est-ce que le ransomware peut se propager via le Wi-Fi?
Heureusement, non. Les cas oĂč les ransomwares se propagent dans le rĂ©seau local sont liĂ©s Ă  la circulation de logiciels malveillants dans les rĂ©pertoires standard. Les attaquants obtiennent simultanĂ©ment les privilĂšges administrateurs et exĂ©cutent ce logiciel malveillant sur tous les ordinateurs du rĂ©seau. Cependant, il est impossible d'ĂȘtre infectĂ© sans laisser les escrocs se connecter Ă  votre appareil.
Le ransomware est-il un crime?
Oui, absolument. La crĂ©ation de code malveillant, sa diffusion et la collecte des rançons relĂšvent de la lĂ©gislation sur la cybercriminalitĂ© dans de nombreux pays. MĂȘme participer au processus ou toucher l'argent de la rançon peut ĂȘtre considĂ©rĂ© comme une participation Ă  ce crime.
Dois-je signaler un ransomware au FBI?
Vous n'ĂȘtes pas obligĂ© de le signaler prĂ©cisĂ©ment au FBI - toute autre force de l'ordre conviendra. Il est prĂ©fĂ©rable de signaler l'attaque de ransomware Ă  l'organisation spĂ©cialement crĂ©Ă©e pour lutter contre la cybercriminalitĂ©. Cependant, ils peuvent ne pas ĂȘtre reprĂ©sentĂ©s dans votre ville, voire dans votre comtĂ©/Ă©tat. La police peut prendre votre dĂ©claration et la transmettre aux autoritĂ©s compĂ©tentes ou vous conseiller sur la personne Ă  qui vous pouvez signaler l'affaire.
Que puis-je faire contre les ransomwares?
Les utilisateurs individuels ne peuvent pas faire grand-chose contre le dĂ©veloppement et la propagation des ransomwares. MĂȘme si les escrocs peuvent ĂȘtre vos amis ou vos proches, vous ne le dĂ©couvrirez probablement que dans les bulletins d'information, aprĂšs leur capture. Ils ont des rĂšgles strictes d'hygiĂšne de l'information, car leur principal ennemi - les forces de l'ordre - reprĂ©sente une menace beaucoup plus importante pour eux. La principale chose que vous pouvez faire pour lutter contre l'activitĂ© des ransomwares est de la rendre non rentable. Chaque utilisateur qui paie la rançon encourage les escrocs Ă  continuer leur action. Mais lorsqu'ils n'obtiennent pas un sou de la plupart des victimes, ils peuvent simplement ĂȘtre mĂ©contents et peut-ĂȘtre orienter leurs compĂ©tences vers une direction plus pacifique.
Windows 10 ou Windows 11 est-il vulnérable aux ransomwares?
Toutes les versions de Windows sont vulnĂ©rables aux attaques de ransomware. Certaines versions spĂ©cifiques de Windows peuvent ĂȘtre plus difficiles Ă  infecter (en fait, les ransomwares auront du mal Ă  terminer le chiffrement), mais c'est toujours possible. Windows 11, le dernier systĂšme d'exploitation de Microsoft, bĂ©nĂ©ficie de mises Ă  jour de sĂ©curitĂ© importantes, notamment un Windows Defender renforcĂ© et des mĂ©canismes de sĂ©curitĂ© dans les composants sensibles du systĂšme. Par consĂ©quent, il est considĂ©rĂ© comme moins vulnĂ©rable, mais les dĂ©veloppeurs de ransomwares travaillent Ă©galement.