Ransomwares/Rançongiciels : Cerber, Spora et Locky

Un page concernant les Crypto-Ransomwares, des menaces malveillantes, qui sont des menaces informatiques très importantes depuis fin 2015.
En français, vous pouvez traduire Ransomware par Rançongiciel.

Les ransomwares sont des logiciels malveillants qui prend en otage un ordinateur ou les données de l’ordinateur et demandent de payer une somme d’argent (souvent sous la forme de bitcoin, ou précédement en Paysafecard et Ukash pour les Trojan Winlock).
De part la méthode utilisée, les ransomwares peuvent aussi être nommés cryptolocker ou Trojan FileCoder.
Les sommes d’argent demandées sont de quelques centaines d’euros.
Depuis fin 2015, le ransomware chiffre les documents à travers des chiffrement asymétrique, la somme d’argent permet d’acheter la clé de déchiffrement.

Historique des ransomwares

Contrairement aux Ransomwares Fake Police (Virus Gendarmerie) qui bloquaient l’accès au PC en affichant une page se faisant passer pour les autorités et vous demandant de payer une amende imaginaire.
Les crypto-ransomwares sont des ransomwares qui vont chiffrer les documents pour empêcher leurs accès. On vous demandera ensuite de payer une rançon pour récupérer l’accès à ces documents.
Ces crypto-ransomwares créés des fichiers texte ou pages WEB dans différents dossiers afin de vous informer des modalités pour payer la dite rançon.
Ce sont donc des ransomwares chiffreurs de fichiers qui ont bien sûr pour but de vous soutirer de l’argent.

Les Crypto-Ransomware visant la France :

 

Ransomwares/Rançongiciels : l'historique des ransomwares

(source endgame.com)

D’après cette statistiques Kaspersky (Décembre 2016), en terme de prévalence, CTB-Locker est loin devant les autres Ransomwares, suivi par Locky puis TeslaCrypt qui a été arreté courant mai 2016).

Ransomwares/Rançongiciels : les plus virulent

ou encore ces statistiques de répartition des familles de ransomwares, Cryptowall est placé devant Wannacry, Cerber et Locky.

Réparation des familles de ransomwares dans le monde

Ou encore ces statistiques où les ransomwares en 2016 et 2017 ont détrôné les trojan banker comme menace :

Ransomwares/Rançongiciels sont devenus les premières menaces informatiques

 

Quelques exemples de ransomwares

Par exemple CryptoWall créé un fichier HELP_FILE qui contient les éléments suivants :

Ransomwares/Rançongiciels : demande et notice de paiement de CryptoWall

CTB-Locker peut afficher un message : Your personal files are encrypted (éventuellement le fond d’écran peut être modifié avec les instructions).

Ransomwares/Rançongiciels : demande et notice de paiement de CTB-Locker
CTB-Locker (Critoni.A)

Le ransomware CTB-Locker modifie aussi le fond d’écran :

Ransomwares/Rançongiciels : demande et notice de paiement de CTB-Locker
CTB-Locker

Le rançongiciel CTB-Locker ajoute une extension à 7 caractères aléatoires aux fichiers chiffrés.Ransomwares/Rançongiciels : fichiers chiffrés et illisibles avec changement d'extension

Même chose avec Locky Ransomware :

Ransomwares/Rançongiciels : notice de paiement du ransomware Locky

Les Ransomwares en vidéo

Le ransomware Jaff en vidéo :

Locky Ransomware en vidéo :

Le Ransomware CryptXXX en vidéo :

TeslaCrypt Crypto-Ransomware en action :

Cerber en vidéo :

Récupérer ses fichiers chiffrés par un ransomware

Si le code qui chiffre les documents est bien fait, Il n’y a malheureusement aucun moyen de récupérer les documents sans payer. Bien entendu, si vous souhaitez payer, vous n’êtes pas certains que les pirates feront les démarches pour vous envoyer la clef afin de déchiffrer vos documents car seul l’argent les intéresse.

C’est pourquoi il convient d’effectuer des sauvegardes afin d’avoir des copies de secours des documents.
Il faut bien entendu se protéger en amont pour ne pas avoir son ordinateur infecté et qu’un ransomware puisse s’installer.

Lorsque le code est mal fait, des bugs sont la partie de chiffrement sont alors découverts et les antivirus sortent souvent un outil qui permet de décrypter les documents. Par exemple, les campagnes TeslaCrypt se sont souvent soldés par des possibilités de récupérer les documents, voir la page : how_recover : TeslaCrypt extension .vvv

Vous trouverez une description plus détaillée des fonctionnements de ces menaces sur la page : des ransomwares chiffreurs de fichiers ainsi qu’une liste des Ransomwares les plus répandues : liste des ransomwares et aussi une page consacrée aux outils pour décrypter les fichiers : Decrypt Tools Ransomware

Ransomwares/Rançongiciels : Les fichiers des cryptlocker

Le site ID Ransomware permet d’identifier le ransomware qui vous a attaqué.

Ransomwares/Rançongiciels : le site ID-Ransomware pour identifier le ransomware

Comment se propagent et se protéger des ransomwares ?

Deux méthodes principales sont utilisées :

Les virus par mail

Les virus par mail sont un grand classique dans les méthodes de distribution.
Depuis fin 2015, grâce aux scripts et aux documents Word, ils ont fait un grand retour.

Exemple ci-dessous d’un mail malicieux VoiceMail et Invoice qui poussent le ransomware Cerber

Voicemail_InvoiceMail_malicieux_ransomware

Dans le cas des pièces jointes malicieuses, il suffit de bien faire attention aux emails que vous ouvrez et surtout aux fichiers qui y sont joints. Prenez bien le temps de lire.
Généralement, ces emails reprennent des services connus (UPS, Service de Fax, Banque etc) avec une pièce jointe zip mais dernièrement, de plus en plus de campagnes en langue française copiants des emails existants (site de vente, des avocats, des comptables etc)
En cas de doute sur une pièce jointe, vous pouvez soumettre cette dernière sur VirusTotal.

Voici un exemple d’email malicieux, comme vous pouvez le voir, ils ne font pas beaucoup d’efforts.

spam_malicieux_global_fax
côté mail, nous vous conseillons de désactiver Windows Script Host, comme l’explique cette vidéo.
Se reporter à la page : Comment se protéger des scripts malicieux sur Windows
Notamment le programme Marmiton permet de filtrer les scripts malicieux.

Les documents Word permettent aussi d’infecter l’ordinateur, plus d’informations, se reporter à l’actualité : Vulnérabilité (?) DDE sur Word et mails malveillants et cette vidéo illustrative :

Les Web Exploit

Un exploit sur site WEB tire parti de la présence de logiciels non à jour sur l’ordinateur, notamment les plugins des navigateurs WEB (Java, Flash, etc) qui vont permettre l’infection automatique à la simple visite d’un site WEB.
Soit le site a été piraté et permet une redirection vers un exploit, soit une publicité malicieuse a été déposée sur des régies publicitaire afin de provoquer la redirection vers l’exploit.
Exemple de campagne de WebExploit poussant des ransomwares :  Ransomware : Vulnérabilité Flash (CVE-2016-1019) et Magnitude Exploit Kit

Exemple avec : Exploit Java et en vidéo :

Il faut donc impérativement maintenir vos logiciels à jour afin de ne pas voir ces portes d’entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s’installer facilement.

Maintenez vos logiciels à jour c’est important, des programmes peuvent vous y aider : Logiciels pour maintenir ses programmes à jour.

Voici les pages pour sécuriser vos navigateurs WEB :

Plus globalement pour sécuriser son ordinateur, suivre les bonnes habitudes, se reporter à la page : Comment Sécuriser son ordinateur ?

Terminal Server

Les serveurs Windows peuvent être piratés à travers Terminal Serveur (l’accès du bureau à distance).
Il s’agit d’attaque brute-force, énumérer les utilisateurs Windows et tenter de se connecter à travers des tentatives successives de mot de passe.
Si un compte Windows est présent avec un mot de passe faible, l’attaquant pourra se connecter au serveur et aura la main dessus.

L’accès en administrateur peut permettre de désactiver l’antivirus, si celui-ci n’est pas protégé par un mot de passe.

Plus d’informations : Piratage de serveur Windows par Terminal Server.

Ransomwares/Rançongiciels : attaque RDP et TSE

Particularité avec les ransomwares Wana Decryptor et Petya

Wanna Decrytpor et Petya sont des ransomwares particuliers, non pas par la partie ransomware, mais par le mode d’attaque.
Wana Decryptor / WannaCry et Petya utilise les mêmes principes que les vers informatiques en exploitant une vulnérabilité à distance et ayant donc des capacités d’auto-propagation propre afin d’infecter des ordinateurs d’un même raison.
L’attaque WannaCry a été lancée à l’aveugle, à savoir des ordinateurs sur internet ont été infectés et envoyés des trames sur la toile afin d’infecter d’autres ordinateurs.
WannaCry s’est ainsi propagé assez rapidement sur internet.

Petya est aussi encore plus particulier, car il a visé plutôt les entreprises à travers une pré-attaque pour pirater un ordinateur de l’entreprise, le but étant de rentrer dans le réseau de celle-ci.
Il semblerait qu’une mise à jour du logiciel de comptabilité MeDoc ait été corrompu pour charger des outils pour voler les mots de passe du réseau et lancer la partie d’auto-propagation qui attaque des ordinateurs vulnérables au sein du réseau.
Tous les ordinateurs du réseau vulnérables seront donc touchés, ce qui peut être très pénalisant pour une entreprise.
L’attaque de Petya est donc plus ciblée.

La fiche ransomware Petya donne plus d’informations sur ce dernier et son mode d’attaque : FAQ – Ransomware Petya

Ransomwares/Rançongiciels : le ransomware Petya

Les Anti-Ransomwares

Il existe des logiciels de protection dédiés à ce type de menaces, des anti-ransomwares, mon avis et commentaires sur ces programmes. A lire : Anti-Ransomware

Windows 10 incorpore aussi son anti-ransomware, pour plus d’informations, rendez-vous sur la page : Comment activer la protection Anti-Ransomware de Windows 10

Liens autour des logiciels malveillants

Résumer tout le monde des trojans et logiciels malveillants serait très compliqués.
Il existe divers types et de familles plus ou moins évolués selon le but recherché par les pirates, voler des infos bancaires, mot de passe ou permettre le contrôle de l’ordinateur.
Vous trouverez une liste des familles de trojan sur la page : Index des menaces et programmes malveillants/Malwares

Les liens généraux sur les menaces informatiques :

(Visité 3 095 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet