Un page concernant les Crypto-Ransomwares, des menaces malveillantes, qui sont des menaces informatiques très importantes depuis fin 2015.
En français, vous pouvez traduire Ransomware par Rançongiciel.
Les ransomwares sont des logiciels malveillants qui prend en otage un ordinateur ou les données de l’ordinateur et demandent de payer une somme d’argent (souvent sous la forme de bitcoin, ou précédemment en Paysafecard et Ukash pour les Trojan Winlock).
Les crypto-ransomwares portent aussi le nom de Cryptolocker ou Trojan FileCoder.
Les sommes d’argent demandées tournent autour de centaines d’euros.
Depuis fin 2015, le ransomware chiffre les documents à travers des chiffrements asymétriques, la somme d’argent permet d’acheter la clé de déchiffrement.
Voici un guide et dossier complet autour des Ransomwares et Rançongiciels.
Table des matières
- 1 Historique des ransomwares
- 2 Quelques exemples de ransomwares
- 3 Comment se propagent et se protéger des ransomwares ?
- 4 Les ransomwares Wana Decryptor et Petya
- 5 Les Anti-Ransomwares
- 6 Solutions pour récupérer les fichiers attaqués par un ransomware
- 7 Protéger son PC contre les virus et ransomwares
- 8 FAQ sur les ransomwares
- 9 Liens
Historique des ransomwares
Contrairement aux Ransomwares Fake Police (Virus Gendarmerie) qui bloquaient l’accès au PC en affichant une page se faisant passer pour les autorités et vous demandant de payer une amende imaginaire.
Les crypto-ransomwares sont des ransomwares qui chiffrent les données afin d’empêcher leurs accès.
Cela verrouille donc l’accès aux données et la victime doit payer une rançon pour récupérer la clé de déchiffrement.
Les fichiers touchés par le ransomware ont souvent l’extension modifiée.
Une fois vos fichiers chiffrés, on vous demande de payer une rançon pour récupérer l’accès à ces documents.
Pour se faire, ces crypto-ransomwares créés des fichiers texte ou pages WEB dans différents dossiers afin de vous informer des modalités pour payer la dite rançon.
Très souvent on vous indique que vos fichiers sont chiffrés avec une norme AES-256, qu’il est impossible de les récupérer et on vous invite à payer.
Ainsi le but est de gagner de l’argent en prenant en otage vos données.
Différentes familles de crypto-ransomwares ont succèdes avec des pics d’activités.
Voici les Crypto-Ransomware les plus actifs qui ont ou visent la France :
CryptowallTeslaCrypt fin en 2016CryptXXX – Ransomware RSA-4096 .cryptRansomware JaffetLocky RansomwareCerber RansomwareetRansomware CerberCTB-Locker (Critroni.A)Spora ransomwareWannaCryGandCrab ransomware- Dharma, une famille de ransomware très actives depuis 2016
- Le Ransomware Maze qui a pu s’implanter dans de nombreuses entreprises
- Revil / Sodinokibi
- La famille de Ransomware Conti apparu en Décembre 2019 s’attaque aux entreprises
- Puis des familles de ransomwares qui s’attaquent à des organisations privées ou publiques : Conti, SamSam Ryuk, Crysis (aka Dharma), Egregor et Maze
Pour un historique très complet, suivrez cet article :
Quelques exemples de ransomwares
Voici quelques exemples de ransomwares et leurs fonctionnements.
Par exemple CryptoWall après avoir frappé créé un fichier HELP_FILE qui contient les explications sur le paiement.
En général, ces derniers expliquent que vous ne pouvez pas récupérer vos données sauf en payant la rançon.
Tout est pensé pour vous faire payer afin de récupérer la clé de déchiffrement.
Cet autre exemple avec CTB-Locker qui affiche un message : Your personal files are encrypted.
Certaines variantes modifient le fond d’écran avec un message indiquant qu’un ransomware a infecté l’ordinateur.
Ce dernier ajoute une extension à 7 caractères aléatoires aux fichiers chiffrés.
Les extensions utilisées diffèrent d’un ransomware à l’autre.
On peut avoir le nom du rançongiciel, des lettres aléatoires.
Au sein d’une même famille, les extensions utilisées changent selon la variante et version.
Enfin même comportement avec Locky Ransomware qui modifie le fond d’écran et ouvre les instructions de paiement avec toutes les explications.
Les Ransomwares en vidéo
Pour mieux comprendre le fonctionnement de ces logiciels malveillants, voici quelques vidéos.
Le ransomware Jaff en vidéo :
Locky Ransomware en vidéo :
Le Ransomware CryptXXX en vidéo :
TeslaCrypt Crypto-Ransomware en action :
Cerber en vidéo :
Comment se propagent et se protéger des ransomwares ?
Plusieurs méthodes principales sont utilisées pour diffuser les ransomwares.
- Les WebExploit ou attaque Drive-by-Download qui tirent parti de vulnérabilités présentes sur l’ordinateur pour installer un ransomware à la simple visite d’une page WEB
- Des campagnes de virus par emails, voici quelques exemples de campagnes d’emails malicieux :
- Email malicieux – Ransomware Locky
- Mail malicieux : TeslaCrypt Ransomware (virus RSA 4096)
- Sujets connexes à ces campagnes d’emails malicieux JS/TrojanDownloader.Nemucod : Ransomware et Trojan Dridex – Mail malicieux Macro Office
- Piratage de serveur à travers RDP (Terminal Serveur), VNC, etc
- Plateforme de PUP.
Les virus par mail
Les virus par mail sont un grand classique dans les méthodes de distribution.
Depuis fin 2015, grâce aux scripts et aux documents Word, ils ont fait un grand retour.
Exemple ci-dessous d’un mail malicieux VoiceMail et Invoice qui poussent le ransomware Cerber
Dans le cas des pièces jointes malicieuses, il suffit de bien faire attention aux emails que vous ouvrez et surtout aux fichiers qui y sont joints. Prenez bien le temps de lire.
Généralement, ces emails reprennent des services connus (UPS, Service de Fax, Banque etc) avec une pièce jointe zip mais dernièrement, de plus en plus de campagnes en langue française copiant des emails existants (site de vente, des avocats, des comptables etc)
En cas de doute sur une pièce jointe, vous pouvez soumettre cette dernière sur VirusTotal.
Voici un exemple d’email malicieux, comme vous pouvez le voir, ils ne font pas beaucoup d’efforts.
Du côté des protections, nous vous conseillons de désactiver Windows Script Host, comme l’explique cette vidéo.
Se reporter à la page : Comment se protéger des scripts malicieux sur Windows
Notamment le programme Marmiton permet de filtrer les scripts malveillants.
Les documents Word permettent aussi d’infecter l’ordinateur, plus d’informations, se reporter à l’actualité : Vulnérabilité (?) DDE sur Word et mails malveillants et cette vidéo illustrative :
Les Web Exploit ou Drive-by-download
Les attaques drive-by-download tire parti de la présence de logiciels non à jour sur l’ordinateur, notamment les plugins des navigateurs WEB (Java, Flash, etc) qui vont permettre l’infection automatique à la simple visite d’un site WEB.
Soit le site a été piraté et permet une redirection vers un exploit, soit une publicité malicieuse a été déposée sur des régies publicitaire afin de provoquer la redirection vers l’exploit.
Exemple de campagne de WebExploit poussant des ransomwares : Ransomware : Vulnérabilité Flash (CVE-2016-1019) et Magnitude Exploit Kit
Exemple avec : Exploit Java et en vidéo :
Il faut donc impérativement maintenir vos logiciels à jour afin de ne pas voir ces portes d’entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s’installer facilement.
Maintenez vos logiciels à jour c’est important, des programmes peuvent vous y aider : Logiciels pour maintenir ses programmes à jour.
Voici les pages pour sécuriser vos navigateurs WEB :
- Google Chrome (paragraphe Plugin) : Sécuriser Google Chrome
- Internet Explorer (paragraphe plugin Java) : Sécuriser Internet Explorer
- Mozilla Firefox : Sécuriser Mozilla Firefox
Plus globalement pour sécuriser son ordinateur, suivre les bonnes habitudes, se reporter à la page :
Attaque RDP
Les serveurs Windows peuvent être piratés à travers RDP et notamment Terminal Serveur (l’accès du bureau à distance).
Il s’agit d’attaque brute-force, énumérer les utilisateurs Windows et tenter de se connecter à travers des tentatives successives de mot de passe.
Si un compte Windows est présent avec un mot de passe faible, l’attaquant pourra se connecter au serveur et aura la main dessus.
L’accès en administrateur peut permettre de désactiver l’antivirus, si celui-ci n’est pas protégé par un mot de passe.
Plus d’informations :
Les ransomwares Wana Decryptor et Petya
Wanna Decrytpor et Petya sont des ransomwares particuliers, non pas par la partie ransomware, mais par le mode d’attaque.
Wana Decryptor / WannaCry et Petya utilise les mêmes principes que les vers informatiques en exploitant une vulnérabilité à distance et ayant donc des capacités d’auto-propagation propre afin d’infecter des ordinateurs d’un même raison.
L’attaque WannaCry a été lancée à l’aveugle, à savoir des ordinateurs sur internet ont été infectés et envoyés des trames sur la toile afin d’infecter d’autres ordinateurs.
WannaCry s’est ainsi propagé assez rapidement sur internet.
Petya est aussi encore plus particulier, car il a visé plutôt les entreprises à travers une pré-attaque pour pirater un ordinateur de l’entreprise, le but étant de rentrer dans le réseau de celle-ci.
Il semblerait qu’une mise à jour du logiciel de comptabilité MeDoc ait été corrompu pour charger des outils pour voler les mots de passe du réseau et lancer la partie d’auto-propagation qui attaque des ordinateurs vulnérables au sein du réseau.
Tous les ordinateurs du réseau vulnérables seront donc touchés, ce qui peut être très pénalisant pour une entreprise.
L’attaque de Petya est donc plus ciblée.
Ce sont les prémisses des attaques visant les organisations publiques et privées comme expliquées dans cet article : Historique et évolutions des attaques de Ransomware
La fiche ransomware Petya donne plus d’informations sur ce dernier et son mode d’attaque : FAQ – Ransomware Petya
Voici les actions effectuées le ransomware Petya :
- Chiffre la table de fichiers – Master File Table (MFT)
- Modifie le secteur d’amorçage MBR pour afficher la page d’instructions de paiements
- D’autres composants de Windows
On peut alors parler de MBR Ransomware qui donneront d’autres variantes comme NotPetya, KillDisk.
Les Anti-Ransomwares
Il existe des logiciels de protection dédiés à ce type de menaces, des anti-ransomwares, mon avis et commentaires sur ces programmes. A lire : Anti-Ransomware
Windows 10 incorpore aussi son anti-ransomware, pour plus d’informations, rendez-vous sur la page :
Solutions pour récupérer les fichiers attaqués par un ransomware
La page suivante donne quelques solutions pour récupérer les fichiers chiffrés par un ransomware :
Protéger son PC contre les virus et ransomwares
Enfin l’article complet qui vous guide pour vous protéger les malwares et virus.
FAQ sur les ransomwares
Les crypto-ransomwares sont des logiciels malveillants qui cherchent à prendre en otage vos documents.
Ce malware va chiffrer les documents pour les rendre inaccessibles et illisibles.
Un fichier instruction est déposé, avec les instructions de paiements, en général via Bitcoin.
Les coût sont d’environ 200 euros.
En règle générale non, tout est mis en oeuvre pour que les fichiers ne puissent pas récupérer par vos propres moyens.
Le but étant de vous obliger à payer la rançon.
Vous pouvez tenter Windows : versions précédentes de fichiers – mais normalement les ransomwares les désactivent. Il peut arriver parfois que la désactivation ne fonctionne pas.
Des logiciels de récupérations de fichiers : Récupérer des fichiers supprimés/effacés facilement
Il reste ensuite un dernier espoir sur le long terme.
Par exemple, mi-2016, l’auteur du ransomware TeslaCrypt a publié la clé privée ce qui a permis de récupérer les fichiers.
Il reste enfin le cas de la saisie des serveurs utilisés par les pirates qui peuvent contenir les clés pour déchiffrer les fichiers.
Principalement deux modes de diffusions sont utilisés :
➔ les virus par mail et notamment à travers des scripts malicieux : Comment se protéger des scripts malicieux sur Windows
➔ Des Web Exploits qui tirent parti de logiciels non à jour et qui permet l’infection de l’ordinateur par la visite d’une page WEB.
➔ Piratage de serveur Windows par Terminal Server et RDP
Se tenir au courant pour sécuriser son ordinateur de manière efficace reste la meilleur solution pour ne pas rester vulnérable à ces attaques.
Vous pouvez désinfecter votre ordinateur en passant ces deux utilitaires :
➔ Malwarebytes Anti-Malware
➔ Un scan en ligne avec NOD32
➔ Sinon lire aussi : Supprimer les virus et désinfecter son PC : le dossier
Si vous avez besoin d’aide ou d’un contre-avis, n’hésitez pas à venir demande de l’aide sur le forum : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack)
oui, certains ransomwares et notamment CryptXXX possèdent des fonctionnalités de Stealer.
Il peut voler les mots de passe contenu dans l’ordinateur.
Après désinfection, il est donc conseillé de changer tous ses mots de passe.
Liens
- Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)
- Ransomware JavaScript
- Anti-Ransomware : Est-ce vraiment utile ?
- Comment activer la protection Anti-Ransomware de Windows 10, 11
- Comment activer le dispositif d’accès contrôlé aux dossiers de Windows 10, 11
- Le chiffrement (cryptage) des données : comment ça marche et pourquoi l’utiliser
- Historique et évolutions des attaques de Ransomware de 2014 à 2021