Qu'est-ce que le Ransomware?
September 07, 2023
La définition succincte du ransomware est cachée dans son nom, tout comme dans de nombreux autres virus. Le "logiciel de rançon" est un programme qui s'infiltre dans votre ordinateur, chiffre vos fichiers, puis vous demande de payer une rançon pour récupérer vos fichiers. Certains exemples de ransomwares menacent leurs victimes en leur disant qu'elles supprimeront leurs fichiers ou publieront des données sensibles si elles ne paient pas la rançon. Alors que le premier danger est un mensonge à 100%, la deuxième thèse peut être réelle car les ransomwares sont souvent propagés avec des logiciels espions ou des voleurs.
Divers exemples de ransomwares utilisent différentes méthodes de chiffrement. La plupart du temps, les principes de chiffrement AES-256 et RSA-1024 sont utilisés, mais vous pouvez parfois rencontrer des normes utilisant RSA-2048. Le nombre à la fin signifie principalement le degré auquel vous devez élever deux pour obtenir le nombre de clés possibles. Même dans le cas de l'AES-256, le nombre de clés est un nombre à 78 chiffres. Pouvez-vous le casser par la force brute? Peut-être, si vous avez 2 millions d'années à perdre. Ou un ordinateur quantique beaucoup plus performant que tous ceux actuellement existants. ~ Équipe Gridinsoft
Pour chaque victime, le ransomware génère une clé en ligne unique. Cette clé est stockée sur le serveur maintenu par les cybercriminels. Si le virus ne peut pas se connecter à ce serveur, il chiffre les fichiers avec la clé hors ligne, qui est stockée localement sur la machine infectée. Le nombre de clés hors ligne est limité. Par conséquent, vous avez une clé de décryptage en commun avec plusieurs autres victimes.
Malheureusement, il n'y a aucune garantie à 100% de récupérer vos fichiers. Si vous avez de la chance et que le ransomware utilise la clé hors ligne, vous pouvez décrypter vos données beaucoup plus rapidement. Cependant, l'obtention des clés prend du temps, et vous devrez peut-être attendre plusieurs semaines. L'application de décryptage, censée être utilisée pour le décryptage des fichiers, recevra la mise à jour avec la clé qui vous convient dès que les analystes la trouveront.
Les clés en ligne sont beaucoup plus difficiles à résoudre. Comme chaque clé est unique, vous pouvez attendre des mois. Les distributeurs de ransomwares seront probablement capturés et contraints de divulguer toutes les clés qu'ils ont sur les serveurs. Une autre situation où toutes les clés sont rendues publiques est lorsque les créateurs de ransomwares décident de mettre fin à leurs activités malveillantes. Cela ne s'est produit qu'une seule fois, en 2018, lorsque les développeurs de GandCrab ont affirmé avoir gagné 2 milliards de dollars et ont suspendu leur activité.
Read also: Arma dei Carabinieri Virus
Étapes de l'attaque par ransomware
La plupart des analystes définissent les six principales étapes d'une attaque par ransomware. Elles peuvent se produire en une seule journée ou en un mois. Cependant, l'ordre, ainsi que le sens de ces étapes, reste toujours le même.Compromission. On l'appelle parfois aussi injection initiale. À ce stade, les attaquants injectent le logiciel malveillant dans le réseau (ou dans l'appareil s'il s'agit d'une attaque contre l'utilisateur individuel). La compromission se fait généralement par le biais de violations RDP, de spam par e-mail, ou de l'utilisation de logiciels non autorisés.
Infection. À ce stade, les escrocs utilisent la présence initiale dans le réseau pour injecter la charge malveillante. Ils n'utilisent que rarement des téléchargements directs, car cela est facile à détecter et à prévenir avec des solutions de sécurité. C'est pourquoi le téléchargement de logiciels malveillants exploite généralement des failles de Windows et des logiciels d'application. Cependant, il peut préférer le téléchargement direct lorsqu'il frappe un réseau non protégé ou un utilisateur unique.
Élévation. Tous les logiciels malveillants ont besoin de s'exécuter avec des privilèges administratifs. Cette propriété permet de réduire le risque lié aux logiciels malveillants en utilisant le compte avec des privilèges utilisateur. Cependant, même dans ce cas, les cybercriminels peuvent trouver un moyen de contourner cette restriction. La plupart des étapes d'escalade dans les réseaux d'entreprise sont effectuées par l'exploitation de vulnérabilités, en particulier celles qui permettent d'escalader les privilèges.
Scan. Cette étape suppose de scanner la ou les machines infectées pour détecter tous les fichiers que le ransomware peut chiffrer. Généralement, les ransomwares ciblent les formats de données les plus sensibles, tels que les fichiers MS Office, les images et la musique. Cependant, certains agissent différemment et chiffrent tout ce qu'ils atteignent, quel que soit le fichier, ce qui peut nuire à la fonctionnalité des programmes.
Chiffrement. Le chiffrement peut prendre quelques minutes ou quelques heures, en fonction du nombre de fichiers sur les machines attaquées, de l'algorithme utilisé et de la qualité du logiciel de chiffrement. Le ransomware le plus rapide connu à ce jour, Rorschach, peut chiffrer 220 000 fichiers en seulement 4,5 minutes. Les ransomwares les plus largement utilisés peuvent prendre des heures pour accomplir la même tâche.
Jour de paiement. Une fois le chiffrement terminé, le logiciel malveillant informe la victime de l'attaque. Il génère généralement un fichier de note de rançon sur le bureau et dans chaque dossier contenant des fichiers chiffrés. Facultativement, il peut également changer le fond d'écran du bureau pour y afficher la note de rançon. Dans les cas les plus extrêmes (comme le ransomware Petya), le logiciel malveillant infectera le chargeur de démarrage et affichera la bannière de la note de rançon lorsque vous appuierez sur le bouton d'alimentation au lieu de charger le système d'exploitation.
Types de ransomwares
Il existe plusieurs types de ransomwares actuellement en circulation. Tous les utilisateurs de la communauté de la cybersécurité sont familiarisés avec le type de ransomware appelé crypto. C'est précisément le virus dont vous pouvez lire ci-dessus. Un autre type de ransomware était actif bien avant 2014. On l'appelait ransomware locker. Comme son nom l'indique, ce virus verrouillait votre système et demandait une rançon pour déverrouiller votre bureau. Laissez-moi vous montrer la différence essentielle entre le ransomware locker et le crypto-ransomware:
Ransomware locker:
- Bloque votre bureau ;
- Couvre le bureau avec une bannière de note de rançon ;
- Modifie les clés de registre responsables du fonctionnement de l'Explorateur Windows ;
- Suspend le processus explorer.exe ;
- Bloque la plupart des combinaisons système (Ctrl+Alt+Suppr, Ctrl+Maj+Échappement) ;
- Certaines versions peuvent infecter le BIOS, rendant impossible le chargement du système ;
- Parfois, il peut être facilement supprimé après des manipulations astucieuses avec les fonctions système ;
- Vous demande de payer une rançon sous forme de rechargement de numéro de téléphone portable, ainsi que via des systèmes de paiement en ligne (PayPal, WebMoney, Qiwi, etc.) ;
Crypto ransomware:
- Chiffre les fichiers avec les extensions les plus courantes (.docx, .png, .jpeg, .gif, .xslx), et leur ajoute une extension spécifique ;
- Modifie les clés de registre responsables du réseau et du lancement des programmes au démarrage ;
- Ajoute un fichier .txt contenant les instructions de paiement de la rançon à chaque dossier où se trouvent les fichiers chiffrés ;
- Peut bloquer l'accès à certains sites web ;
- Empêche le lancement des fichiers d'installation de logiciels anti-malveillants ;
- Peut changer votre fond d'écran pour afficher une note de rançon ;
- Le paiement de la rançon doit être effectué uniquement en utilisant des cryptomonnaies, principalement le Bitcoin ;
Dernières attaques de ransomware
- Arma dei Carabinieri Virus
- Donex, DarkRace, fake LockBit 3.0 and Muse Ransomware Decryptor Released
- How can an attacker execute malware through a script?
- Trojan:Win32/Cerber
- New Embargo Ransomware Discovered, Possible ALPHV Reborn
- New Red Ransomware Group Discovered
- Hunt Ransomware ([email protected])
- UnitedHealth Hack Leaks 6 TB of User Data
Liste des familles de ransomware, actuelles pour November, 2024:
- Ransomware Avaddon est apparu brièvement mais a été très actif: ses développeurs ont décidé de mettre fin à leurs activités en mai 2021.
- Ransomware STOP Djvu est l'une des familles de ransomwares les plus répandues. La première activité de ce type de virus a été détectée en 2018, et son activité est toujours très élevée. Ciblant principalement les utilisateurs simples, ce ransomware peut être un exemple parfait d'un ransomware "classique".
- Ransomware Conti. Ce groupe criminel cible les organisations où les pannes informatiques peuvent avoir des conséquences graves pour la vie: les hôpitaux, les services de répartition du 911, les services médicaux d'urgence et les agences de maintien de l'ordre. Le groupe s'est dissous à la mi-2022, à la suite d'un conflit entre ses membres.
- Ransomware Matrix est un ancien de la scène des ransomwares, apparu en décembre 2016.
- Ransomware MedusaLocker est apparu en septembre 2019 et a connu un démarrage très rapide avec des attaques contre des entreprises du monde entier.
- Ransomware Snatch utilise le stratagème du Mode sans échec de Windows et d'un service privilégié.
- Ransomware VoidCrypt utilise plusieurs fonctionnalités plus typiques des virus orientés vers les entreprises.
- Ransomware Xorist utilise un crypto-constructeur et peut se modifier tellement qu'il est difficile de le reconnaître.
- Ransomware Dharma est apparu vers 2016, cette famille de ransomware vise les petites entreprises. Près de 77% de tous les cas de Dharma sont liés à l'exploitation des vulnérabilités RDP.
- Ransomware Egregor a attaqué de grandes entreprises du monde entier.
- Ransomware HiddenTear - Initialement créé à des fins éducatives.
- Ransomware LockBit est un ransomware extrêmement rapide.
- Ransomware Magniber a tenté d'utiliser une vulnérabilité bien connue de PrintNightmare pour compromettre les victimes.
- Ransomware Makop ne se limite pas à un seul algorithme de chiffrement.
- Ransomware Ryuk est un ancien de la scène, possiblement lié à des hackers nord-coréens.
Read also: Donex, DarkRace, fake LockBit 3.0 and Muse Ransomware Decryptor Released
Est-ce une solution de payer la rançon?
La majorité des revenus des développeurs de ransomwares sont utilisés pour financer diverses activités criminelles, telles que le terrorisme, d'autres campagnes de distribution de logiciels malveillants, le trafic de drogues, etc. Étant donné que tous les paiements de rançon sont effectués en cryptomonnaies, il n'y a aucun moyen de découvrir l'identité des escrocs. Cependant, les adresses e-mail peuvent parfois révéler les distributeurs de ransomwares au Moyen-Orient.
Comme vous pouvez déjà le conclure, payer la rançon équivaut à participer à des activités criminelles. Bien sûr, personne ne vous accusera de financer le terrorisme. Mais il n'est pas agréable de comprendre que l'argent que vous gagnez honnêtement est dépensé pour le terrorisme ou la drogue. Souvent, même de grandes entreprises qui sont victimes de chantage avec des menaces de publication de données internes ne paient pas un centime à ces escrocs.
Comment puis-je protéger mon ordinateur contre le ransomware?
En général, les programmes anti-malveillants mettent à jour leurs bases de données de détection chaque jour. GridinSoft Anti-Malware peut vous offrir des mises à jour toutes les heures, ce qui réduit les chances qu'un tout nouveau échantillon de ransomware s'infiltre dans votre système. Cependant, l'utilisation d'un logiciel anti-malveillant n'est pas une panacée. Vous devez être prudent dans tous les endroits à risque. Ceux-ci comprennent:
- Les messages électroniques. La plupart des cas de ransomware, quelle que soit la famille, sont liés à des messages électroniques malveillants. Les gens ont l'habitude de faire confiance à tous les messages envoyés par e-mail et ne pensent pas qu'un fichier malveillant puisse se cacher dans la pièce jointe. Pendant ce temps, les cybercriminels exploitent cette faiblesse et incitent les gens à activer les macros dans les fichiers Microsoft Office. Les macros sont une application spécifique qui permet d'augmenter l'interaction avec le document. Vous pouvez construire n'importe quoi en Visual Basic et l'ajouter au document en tant que macros. Les escrocs ajoutent sans réfléchir le code de ransomware.
- Les utilitaires douteux et les programmes non fiables. Vous pouvez trouver divers conseils en parcourant le Web. Les forums en ligne, les réseaux sociaux et les réseaux de partage - ces endroits sont connus comme sources de divers outils spécifiques. Et il n'y a rien de mal à de tels logiciels - parfois, les gens ont besoin de fonctions qui ne sont pas demandées (ou acceptées) pour la production d'entreprise. Ces outils sont appelés des keygens pour diverses applications, des activateurs de clés de licence (KMS Activator est l'un des exemples les plus célèbres). Cependant, vous devez vous rappeler que tous les logiciels douteux doivent être installés avec des paramètres de base. Et être supprimé après leur utilisation. Ces programmes ne doivent pas être laissés dans le système.
- Les failles dans Windows. Les ransomwares utilisent constamment des failles dans Windows. Toutefois, Microsoft effectue des correctifs chaque mois. Négliger la mise à jour de votre système d'exploitation équivaut à garder les portes de la maison ouvertes pour tous les voleurs. Cependant, les mises à jour ne sont pas l'outil ultime pour éliminer tous les problèmes. Lisez les dernières nouvelles sur les vulnérabilités dans le système d'exploitation, car Microsoft ne signale pas toutes les vulnérabilités connues. Parfois, ces informations sont divulguées par des analystes indépendants. Une autre source est les forums de sécurité sur Internet.
Même en prenant en compte tous les conseils ci-dessus, il n'est pas possible de garantir une protection à 100%. Cependant, il est important de faire de son mieux pour minimiser les risques. Les solutions de sécurité informatique, les mises à jour régulières et la vigilance en ligne sont des éléments clés de la protection contre les ransomwares.
Read also: How can an attacker execute malware through a script?
Une chronologie des plus grandes attaques de ransomwares :
- HLAS Ransomware (Extension de fichier .hlas)
- QUAL Ransomware (Extension de fichier .qual)
- WAQA Ransomware (Extension de fichier .waqa)
- WATZ Ransomware (Extension de fichier .watz)
- VEZA Ransomware (Extension de fichier .veza)
- VEHU Ransomware (Extension de fichier .vehu)
- VEPI Ransomware (Extension de fichier .vepi)
En résumé
Le ransomware est un type de logiciel malveillant qui chiffre les fichiers de la victime et demande ensuite une rançon en échange de la clé de déchiffrement. Les ransomwares sont souvent distribués via des e-mails de phishing, des sites web malveillants et des téléchargements de logiciels piratés. Pour se protéger contre les ransomwares, il est essentiel de maintenir un logiciel de sécurité à jour, d'éviter les téléchargements suspects et de faire preuve de prudence en ligne. Le paiement de la rançon n'est généralement pas recommandé, car il n'y a aucune garantie que les cybercriminels fourniront la clé de déchiffrement.
Il est essentiel de prendre des mesures pour protéger vos données contre les ransomwares, car une fois que vos fichiers sont chiffrés, leur récupération peut être très difficile, voire impossible.
N'hésitez pas à partager cet article pour informer d'autres personnes sur les dangers des ransomwares et sur les moyens de se protéger contre eux.