Ransomware expliqué: comment cela fonctionne et comment le supprimer

0 Comments

ransomware définition

Ransomware est une forme de logiciel malveillant qui crypte les fichiers d’une victime. L’attaquant exige alors une rançon de la victime pour restaurer l’accès aux données lors du paiement.

les utilisateurs reçoivent des instructions pour savoir comment payer des frais pour obtenir la clé de déchiffrement. Les coûts peuvent aller de quelques centaines de dollars à des milliers, payables aux cybercriminels en Bitcoin.

Comment ransomware fonctionne

Il y a un certain nombre de vecteurs ransomware peut prendre pour accéder à un ordinateur., L’un des systèmes de diffusion les plus courants est le spam de phishing — pièces jointes qui arrivent à la victime dans un e-mail, se faisant passer pour un fichier auquel elle devrait faire confiance. Une fois qu »ils sont téléchargés et ouverts, ils peuvent prendre en charge l » ordinateur de la victime, surtout si elles ont intégré des outils d « ingénierie sociale qui trompent les utilisateurs en permettant l » accès administratif. D’autres formes plus agressives de ransomware, comme NotPetya, exploitent les failles de sécurité pour infecter les ordinateurs sans avoir à tromper les utilisateurs.,

Il y a plusieurs choses que le logiciel malveillant pourrait faire une fois qu’il a repris l’ordinateur de la victime, mais de loin l’action la plus courante est de crypter tout ou partie des fichiers de l’utilisateur. Si vous voulez les détails techniques, L’Institut Infosec a un grand regard en profondeur sur la façon dont plusieurs saveurs de ransomware crypter les fichiers. Mais la chose la plus importante à savoir est qu’à la fin du processus, les fichiers ne peuvent pas être déchiffrés sans une clé mathématique connue uniquement par l’attaquant., L’utilisateur est présenté avec un message expliquant que leurs fichiers sont maintenant inaccessibles et ne seront décryptés que si la victime envoie un paiement Bitcoin intraçable à l’attaquant.

dans certaines formes de logiciels malveillants, l’attaquant peut prétendre être un organisme d’application de la loi qui ferme l’ordinateur de la victime en raison de la présence de pornographie ou de logiciels piratés dessus, et exiger le paiement d’une »amende », peut-être pour rendre les victimes moins susceptibles de signaler l’attaque aux autorités. Mais la plupart des attaques ne se soucient pas avec ce prétexte., Il existe également une variante, appelée leakware ou doxware, dans laquelle l’attaquant menace de publier des données sensibles sur le disque dur de la victime à moins qu’une rançon ne soit payée. Mais parce que trouver et extraire de telles informations est une proposition très délicate pour les attaquants, cryptage ransomware est de loin le type le plus commun.

Qui est une cible pour ransomware?

Il existe plusieurs façons différentes pour les attaquants de choisir les organisations qu’ils ciblent avec un ransomware., Parfois, il est une question d « opportunité: par exemple, les attaquants peuvent cibler les universités parce qu » ils ont tendance à avoir des équipes de sécurité plus petites et une base d  » utilisateurs disparate qui fait beaucoup de partage de fichiers, ce qui rend plus facile de pénétrer leurs défenses.

d’autre part, certaines organisations sont des cibles tentantes, car ils semblent plus susceptibles de payer une rançon rapidement. Par exemple, les organismes gouvernementaux ou les établissements médicaux ont souvent besoin d’un accès immédiat à leurs dossiers., Les cabinets d’avocats et autres organisations disposant de données sensibles peuvent être prêts à payer pour garder les nouvelles d’un compromis silencieuses — et ces organisations peuvent être particulièrement sensibles aux attaques de leakware.

Mais ne vous sentez pas comme vous êtes en sécurité si vous ne correspondez pas à ces catégories: comme nous l’avons noté, certains ransomware se propage automatiquement et sans discernement sur internet.

comment prévenir les ransomwares

Il existe un certain nombre de mesures défensives que vous pouvez prendre pour prévenir l’infection par les ransomwares., Ces étapes sont bien sûr de bonnes pratiques de sécurité en général, donc les suivre améliore vos défenses contre toutes sortes d’attaques:

  • Gardez votre système d’exploitation patché et à jour pour vous assurer que vous avez moins de vulnérabilités à exploiter.
  • N’installez pas de logiciel ou ne lui donnez pas de privilèges administratifs, sauf si vous savez exactement ce que c’est et ce qu’il fait.
  • installez un logiciel antivirus, qui détecte les programmes malveillants tels que les ransomwares à leur arrivée, et un logiciel de liste blanche, qui empêche les applications non autorisées de s’exécuter en premier lieu.,
  • Et, bien sûr, de sauvegarder vos fichiers, fréquemment et automatiquement! Cela ne sera pas arrêter une attaque de logiciels malveillants, mais il peut rendre les dommages causés par un beaucoup moins important.

ransomware removal

Si votre ordinateur a été infecté par ransomware, vous aurez besoin de reprendre le contrôle de votre machine.,onstrating comment faire cela sur une machine Windows 10:

La vidéo a tous les détails, mais les étapes importantes sont de:

  • redémarrer Windows 10 en mode sans échec
  • installer logiciel antimalware
  • analyser le système pour trouver le programme ransomware
  • restaurer l’ordinateur à un état précédent

Mais voici la chose importante à garder à l’esprit: tout en marchant à travers ces étapes peut supprimer le logiciel malveillant de votre ordinateur et le restaurer à votre contrôle, il ne sera pas décrypter vos fichiers., Leur transformation en non-lisibilité s’est déjà produite, et si le logiciel malveillant est sophistiqué, il sera mathématiquement impossible pour quiconque de les déchiffrer sans avoir accès à la clé que détient l’attaquant. En fait, en supprimant le logiciel malveillant, vous avez empêché la possibilité de restaurer vos fichiers en payant les attaquants la rançon qu’ils ont demandé.

Ransomware faits et chiffres

Ransomware est une grosse affaire. Il y a beaucoup d’argent dans ransomware, et le marché s’est développé rapidement depuis le début de la décennie., En 2017, les ransomwares ont entraîné des pertes de 5 milliards de dollars, à la fois en termes de rançons payées et de dépenses et de temps perdu pour se remettre d’attaques. C’est en hausse de 15 fois par rapport à 2015. Au premier trimestre de 2018, un seul type de logiciel de ransomware, SamSam, a recueilli un million de dollars 1 en argent de rançon.

certains marchés sont particulièrement enclins aux ransomwares—et au paiement de la rançon., De nombreuses attaques de rançongiciels de haut niveau ont eu lieu dans des hôpitaux ou d’autres organisations médicales, ce qui fait des cibles tentantes: les attaquants savent que, avec des vies littéralement en jeu, ces entreprises sont plus susceptibles de payer simplement une rançon relativement faible pour faire disparaître un problème. Il est estimé que 45 pour cent des attaques de ransomware ciblent les organisations de soins de santé, et, inversement, que 85 pour cent des infections de logiciels malveillants dans les organisations de soins de santé sont ransomware. Une autre industrie tentante? Le secteur des services financiers, qui est, comme Willie Sutton l’a fait remarquer, où se trouve l’argent., Il est estimé que 90 pour cent des institutions financières ont été ciblées par une attaque ransomware en 2017.

votre logiciel anti-malware ne vous protégera pas nécessairement. Ransomware est constamment écrit et modifié par ses développeurs, et donc ses signatures ne sont souvent pas pris par les programmes antivirus typiques. En fait, jusqu’à 75 pour cent des entreprises victimes de ransomware exécutaient une protection de point de terminaison à jour sur les machines infectées.

Ransomware n’est pas aussi répandue qu’elle ne l’était., Si vous voulez un peu de bonnes nouvelles, c’est ceci: le nombre d’attaques de ransomware, après avoir explosé au milieu des années 10, est allé dans une baisse, bien que les chiffres initiaux étaient assez élevés qu’il est encore. Mais au premier trimestre de 2017, les attaques de ransomware représentaient 60 pour cent des charges utiles de logiciels malveillants; maintenant, il est en baisse à 5 pour cent.

Ransomware sur le déclin?

Qu’est-ce qui se cache derrière ce grand plongeon? À bien des égards, il est une décision économique basée sur la monnaie de choix du cybercriminel: bitcoin., L’extraction d’une rançon d’une victime a toujours été frappé ou manquer; ils ne pourraient pas décider de payer, ou même s’ils le voulaient, ils pourraient ne pas être suffisamment familiarisé avec bitcoin, de comprendre comment le faire.

comme le souligne Kaspersky, la baisse des ransomwares a été compensée par une augmentation des logiciels malveillants dits cryptomining, qui infecte l’ordinateur victime et utilise sa puissance de calcul pour créer (ou la mienne, dans le langage de la crypto-monnaie) bitcoin sans que le propriétaire le sache., Il s’agit d’une bonne façon d’utiliser les ressources de quelqu’un d’autre pour obtenir bitcoin qui contourne la plupart des difficultés à obtenir une rançon, et il n’a fait que devenir plus attrayant en tant que cyberattaque que le prix du bitcoin a augmenté à la fin de 2017.

cela ne signifie pas que la menace est terminée, cependant. Il existe deux types différents d’attaquants de ransomware: les attaques « commodity » qui tentent d’infecter les ordinateurs sans discernement par volume et incluent les plates-formes dites « ransomware as a service » que les criminels peuvent louer; et les groupes ciblés qui se concentrent sur des segments de marché et des organisations particulièrement vulnérables., Vous devriez être sur vos gardes si vous êtes dans cette dernière catégorie, peu importe si le grand boom ransomware est passé.

avec la baisse du prix du bitcoin au cours de 2018, l’analyse coûts-avantages pour les attaquants pourrait reculer. En fin de compte, l’utilisation de ransomware ou de logiciels malveillants cryptomining est une décision commerciale pour les attaquants, explique Steve Grobman, directeur de la technologie chez McAfee. « Alors que les prix de la crypto-monnaie baissent, il est naturel de voir un retour en arrière . »

devriez-vous payer la rançon?,

Si votre système a été infecté par des logiciels malveillants, et vous avez perdu des données vitales que vous ne pouvez pas restaurer à partir de sauvegarde, si vous payez la rançon?

en théorie, la plupart des organismes d’application de la loi vous exhortent à ne pas payer les attaquants ransomware, sur la logique que cela ne fait qu’encourager les pirates à créer plus ransomware. Cela dit, de nombreuses organisations qui se trouvent affligées par des logiciels malveillants cessent rapidement de penser en termes de » plus grand bien  » et commencent à faire une analyse coûts-avantages, en pesant le prix de la rançon par rapport à la valeur des données cryptées., Selon les recherches de Trend Micro, alors que 66 pour cent des entreprises disent qu’ils ne paieraient jamais une rançon comme un point de principe, dans la pratique 65 pour cent effectivement payer la rançon quand ils sont touchés.

les attaquants de Ransomware maintiennent les prix relativement bas — généralement entre 7 700 et 1 1,300, un montant que les entreprises peuvent généralement se permettre de payer à court terme. Certains logiciels malveillants particulièrement sophistiqués détecteront le pays où l »ordinateur infecté est en cours d » exécution et ajuster la rançon pour correspondre à l  » économie de cette nation, exigeant plus des entreprises dans les pays riches et moins de ceux dans les régions pauvres.,

Il y a souvent des rabais offerts pour agir rapidement, afin d’encourager les victimes à payer rapidement avant de trop y penser. En général, le point de prix est fixé de sorte qu »il est assez élevé pour valoir le criminel tout, mais assez bas qu »il est souvent moins cher que ce que la victime aurait à payer pour restaurer leur ordinateur ou reconstruire les données perdues., Dans cet esprit, certaines entreprises commencent à intégrer le besoin potentiel de payer une rançon dans leurs plans de sécurité: par exemple, certaines grandes entreprises britanniques qui ne sont par ailleurs pas impliquées dans la crypto-monnaie détiennent des bitcoins en réserve spécifiquement pour les paiements de rançon.

Il y a quelques choses délicates à retenir ici, en gardant à l »esprit que les gens avec qui vous avez affaire sont, bien sûr, criminels. Tout d’abord, ce qui ressemble à ransomware peut ne pas avoir réellement crypté vos données du tout; assurez-vous que vous aren »t traiter avec soi-disant « scareware » avant d’envoyer de l’argent à quiconque., Et deuxièmement, payer les attaquants ne garantit pas que vous récupérerez vos fichiers. Parfois, les criminels juste prendre l’argent et courir, et peut-être même pas construit la fonctionnalité de décryptage dans le malware. Mais un tel logiciel malveillant obtiendra rapidement une réputation et ne générera pas de revenus, donc dans la plupart des cas — Gary Sockrider, principal technologue en sécurité chez Arbor Networks, estime autour 65 à 70 pour cent du temps — les escrocs viennent à travers et vos données sont restaurées.

vidéo connexe:

Ransomware: payez-vous la rançon?, /Salted Hash Ep 19

exemples de Ransomware

bien que le ransomware existe techniquement depuis les années 90, il n’a pris son envol qu’au cours des cinq dernières années, en grande partie en raison de la disponibilité de méthodes de paiement intraçables comme Bitcoin. Certains des pires délinquants ont été:

  • CryptoLocker, une attaque de 2013, a lancé l’ère moderne des ransomwares et infecté jusqu’à 500 000 machines à son apogée.
  • TeslaCrypt a ciblé les fichiers de jeu et a vu une amélioration constante pendant son règne de terreur.,
  • SimpleLocker a été la première attaque de ransomware généralisée qui s’est concentrée sur les appareils mobiles
  • WannaCry s’est propagé de manière autonome d’ordinateur à ordinateur en utilisant EternalBlue, un exploit développé par la NSA puis volé par des pirates.
  • NotPetya a également utilisé EternalBlue et pourrait avoir fait partie d’une cyberattaque dirigée par la Russie contre L’Ukraine.
  • Locky a commencé à se propager en 2016 et était « similaire dans son mode d’attaque au célèbre logiciel bancaire Dridex. »Une variante, Osiris, a été diffusée à travers des campagnes de phishing.,
  • Leatherlocker a été découvert en 2017 dans deux applications Android: Booster & Cleaner et Wallpaper Blur HD. Plutôt que de crypter des fichiers, il verrouille l’écran d’accueil pour empêcher l’accès aux données.
  • Wysiwye, également découvert en 2017, analyse le web à la recherche de serveurs Open Remote Desktop Protocol (RDP). Il essaie ensuite de voler les informations D’identification RDP pour se propager sur le réseau.
  • Cerber s’est révélé très efficace lorsqu’il est apparu pour la première fois en 2016, éliminant les attaquants 200 000 $en juillet de la même année. Il a profité d’une vulnérabilité Microsoft pour infecter les réseaux.,
  • BadRabbit s’est répandu dans les entreprises de médias en Europe de l’Est et en Asie en 2017.
  • SamSam existe depuis 2015 et cible principalement les organisations de soins de santé.
  • Ryuk est apparu pour la première fois en 2018 et est utilisé dans des attaques ciblées contre des organisations vulnérables telles que les hôpitaux. Il est souvent utilisé en combinaison avec d’autres logiciels malveillants comme TrickBot.
  • Maze est un groupe relativement nouveau ransomware connu pour la divulgation des données volées au public si la victime ne paie pas pour le décrypter.,
  • RobbinHood est une autre variante EternalBlue qui a mis la ville de Baltimore, Maryland, à genoux en 2019.
  • GandCrab pourrait être le ransomware le plus lucratif jamais. Ses développeurs, qui ont vendu le programme à des cybercriminels, réclament plus de 2 milliards de dollars en paiements aux victimes en juillet 2019.
  • Sodinokibi cible les systèmes Microsoft Windows et crypte tous les fichiers à l’exception des fichiers de configuration. Il est lié à GandCrab
  • Thanos est le plus récent ransomware sur cette liste, découvert en janvier 2020., Il est vendu comme ransomware as a service, il est le premier à utiliser la technique RIPlace, qui peut contourner la plupart des méthodes anti-ransomware.

Cette liste va s’allonger. Suivez les conseils énumérés ici pour vous protéger.

video:

Ransomware marchés et l’avenir de logiciels malveillants | Salé de Hachage Ep 6


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *