Ransomwares/Rançongiciels : Cryptowall, TeslaCrypt RSA-4096, Cerber et Locky Ransomware

Un page concernant les Crypto-Ransomwares, des menaces malveillantes, qui poussent très fortement depuis fin 2015.
En français, vous pouvez traduire Ransomwares par Rançongiciels.

Historique des ransomwares

Contrairement aux Ransomwares Fake Police (Virus Gendarmerie) qui bloquaient l’accès au PC en affichant une page se faisant passer pour les autorités et vous demandant de payer une amende imaginaire.
Les crypto-ransomwares de type Cryptowall, TeslaCrypt et CTB-Locker sont des ransomwares qui vont chiffrer les documents pour empêcher leurs accès. On vous demandera ensuite de payer une rançon pour récupérer l’accès à ces documents.
Ces crypto-ransomwares créés des fichiers texte ou pages WEB dans différents dossiers afin de vous informer des modalités pour payer la dite rançon.
Ce sont donc des ransomwares chiffreurs de fichiers qui ont bien sûr pour but de vous soutirer de l’argent.

Les Crypto-Ransomware visant la France :

 

(source endgame.com)

Quelques exemples de ransomwares

Par exemple CryptoWall créé un fichier HELP_FILE qui contient les éléments suivants :

CryptoWall

CTB-Locker peut afficher un message : Your personal files are encrypted (éventuellement le fond d’écran peut être modifié avec les instructions).

CTB-Locker (Critoni.A)

CTB-Locker modifie aussi le fond d’écran :

CTB-Locker

CTB-Locker ajoute une extension à 7 caractères aléatoires aux fichiers chiffrés.CTB_Locker_fichiers_chiffres

Même chose avec Locky Ransomware :

Les Ransomwares en vidéo

Locky Ransomware en vidéo :

Le Ransomware CryptXXX en vidéo :

TeslaCrypt Crypto-Ransomware en action :

Cerber en vidéo :

Récupérer ses fichiers chiffrés par un ransomware

Si le code qui chiffre les documents est bien fait, Il n’y a malheureusement aucun moyen de récupérer les documents sans payer. Bien entendu, si vous souhaitez payer, vous n’êtes pas certains que les pirates feront les démarches pour vous envoyer la clef afin de déchiffrer vos documents car seul l’argent les intéresse.

C’est pourquoi il convient d’effectuer des sauvegardes afin d’avoir des copies de secours des documents.
Il faut bien entendu se protéger en amont pour ne pas avoir son ordinateur infecté et qu’un ransomware puisse s’installer.

Lorsque le code est mal fait, des bugs sont la partie de chiffrement sont alors découverts et les antivirus sortent souvent un outil qui permet de décrypter les documents. Par exemple, les campagnes TeslaCrypt se sont souvent soldés par des possibilités de récupérer les documents, voir la page : how_recover : TeslaCrypt extension .vvv

Vous trouverez une description plus détaillée des fonctionnements de ces menaces sur la page : des ransomwares chiffreurs de fichiers ainsi qu’une liste des Ransomwares les plus répandues : liste des ransomwares

liste_ransomwares_courants

Le site ID Ransomware permet d’identifier le ransomware qui vous a attaqué.

Comment se propagent et se protéger des ransomwares ?

Deux méthodes principales sont utilisées :

Exemple ci-dessous d’un mail malicieux VoiceMail et Invoice qui poussent le ransomware Cerber

Voicemail_InvoiceMail_malicieux_ransomware

Dans le cas des pièces jointes malicieuses, il suffit de bien faire attention aux emails que vous ouvrez et surtout aux fichiers qui y sont joints. Prenez bien le temps de lire.
Généralement, ces emails reprennent des services connus (UPS, Service de Fax, Banque etc) avec une pièce jointe zip mais dernièrement, de plus en plus de campagnes en langue française copiants des emails existants (site de vente, des avocats, des comptables etc)
En cas de doute sur une pièce jointe, vous pouvez soumettre cette dernière sur VirusTotal.

Voici un exemple d’email malicieux, comme vous pouvez le voir, ils ne font pas beaucoup d’efforts.

spam_malicieux_global_fax
côté mail, nous vous conseillons de désactiver Windows Script Host, comme l’explique cette vidéo.
Se reporter à la page : Comment se protéger des scripts malicieux sur Windows
Notamment le programme Marmiton permet de filtrer les scripts malicieux.

Un exploit sur site WEB tire parti de la présence de logiciels non à jour sur l’ordinateur, notamment les plugins des navigateurs WEB (Java, Flash, etc) qui vont permettre l’infection automatique à la simple visite d’un site WEB.
Soit le site a été piraté et permet une redirection vers un exploit, soit une publicité malicieuse a été déposée sur des régies publicitaire afin de provoquer la redirection vers l’exploit.
Exemple de campagne de WebExploit poussant des ransomwares :  Ransomware : Vulnérabilité Flash (CVE-2016-1019) et Magnitude Exploit Kit

Exemple avec : Exploit Java et en vidéo :

Il faut donc impérativement maintenir vos logiciels à jour afin de ne pas voir ces portes d’entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s’installer facilement.

Maintenez vos logiciels à jour c’est important, des programmes peuvent vous y aider : Logiciels pour maintenir ses programmes à jour.

Voici les pages pour sécuriser vos navigateurs WEB :

Plus globalement pour sécuriser son ordinateur, suivre les bonnes habitudes, se reporter à la page : Comment Sécuriser son ordinateur ?

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 933 times, 9 visits today)

2 thoughts on “Ransomwares/Rançongiciels : Cryptowall, TeslaCrypt RSA-4096, Cerber et Locky Ransomware

  1. J´ai réussi à récupérer des fichiers grâce á RECUVERA suite á une infection avec CTB looker.
    Je tenais á partager cela car cela m´a coûté beaucoup de temps pour trouver une solution.
    Bonne chance.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *