ransomware : Différence entre versions
De Vulgum Techus
m (Admin2 a déplacé la page ransonware vers ransomware sans laisser de redirection) |
(→Présentation) |
||
| Ligne 15 : | Ligne 15 : | ||
<br/> | <br/> | ||
= Présentation = | = Présentation = | ||
| − | Les ''' | + | Les '''ransomwares''' sont rapidement devenus les nouvelles terreurs du '''web''' du fait d'un fonctionnement particulièrement vicieux qui consiste à '''crypter''' les fichiers d'un utilisateur, voire de tous les utilisateurs raccordés sur un même réseau, et à exiger une rançon, payée soit par '''[[Bitcoins]]''' soit par virements cash, pour permettre une hypothétique suppression du cryptage. |
== Modes de contamination == | == Modes de contamination == | ||
| − | Majoritairement par '''[[e-mail]]''', via des pièces jointes qui sont des '''exécutables''' maquillés en autres fichiers généralement de type '''[[pdf]]'''. Une fois exécutés, ils | + | * Majoritairement par '''[[e-mail]]''', via des pièces jointes qui sont des '''exécutables''' maquillés en autres fichiers généralement de type '''[[pdf]]'''. |
| + | * Une fois exécutés, ils s’installent sur le disque dur hôte et peuvent aussi crypter les fichiers sur l'ensemble des '''[[disques durs]]''' raccordés y compris les '''[[disques durs]] réseaux''' et les '''NAS'''. | ||
| + | * Certains comme '''Cryptolocker''' ne seront opérationnels qu'une fois l'ordinateur rebooté | ||
| + | * Certains comme '''Cryptolocker''' se connecte au réseau sur un ordinateur pirate pour calculer les clés (publique et privée) de codage des fichiers sensibles. | ||
| + | * La clé publique est celle qui reste sur le '''[[PC]]''' contaminé. La clé privée est celle qui permet son débloquage et n'est accessible qu'une fois la '''rançon''' payée (enfin en théorie) | ||
== Fichiers ciblés == | == Fichiers ciblés == | ||
| − | Selon [[Malwarebytes]], les extensions de fichiers ciblés par '''Cryptolocker''' sont à ce jour : 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, [[doc]], [[docm]], [[docx]], dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, [[xls]], [[xlsb]], [[xlsm]], [[xlsx]] | + | Selon [[Malwarebytes]], les extensions de fichiers ciblés par '''Cryptolocker''' sont à ce jour : [[3fr]], [[accdb]], [[ai]], [[arw]], [[bay]], cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, [[doc]], [[docm]], [[docx]], dwg, dxf, dxg, eps, erf, indd, [[jpe]], [[jpg]], kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, [[xls]], [[xlsb]], [[xlsm]], [[xlsx]]. |
| + | Ces extensions sont majoritairement celles de fichiers les plus usités par les professionnels à savoir : | ||
| + | * [[MS Office]] avec [[accdb]], [[doc]], [[docm]], [[docx]], [[xls]], [[xlsb]], [[xlsm]], [[xlsx]] | ||
| + | * images avec : [[3fr]], [[ai]], [[arw]], [[jpe]], [[jpg]], | ||
== Prévention == | == Prévention == | ||
| Ligne 27 : | Ligne 34 : | ||
* Attention au faux '''[[e-mail]]''' d'entreprises de routage ('''DHL''', '''UPS''', etc.) faisant était d'un document joint à ouvrir | * Attention au faux '''[[e-mail]]''' d'entreprises de routage ('''DHL''', '''UPS''', etc.) faisant était d'un document joint à ouvrir | ||
* Faire des sauvegardes des fichiers systèmes et documents, y compris dossiers courriers, sur '''[[disque dur]]''' externe ou sur '''[[cloud]]'''. | * Faire des sauvegardes des fichiers systèmes et documents, y compris dossiers courriers, sur '''[[disque dur]]''' externe ou sur '''[[cloud]]'''. | ||
| − | * Avoir un '''[[pare-feu]] permettra de bloquer tout demande d'accès au net de la part du ''' | + | * Avoir un '''[[pare-feu]] permettra de bloquer tout demande d'accès au net de la part du '''ransomware''' ce qui peut interrompre son processus de cryptage |
| − | * Avoir un '''[[antivirus]] à jour est aussi une excellente précaution car la plupart d'entre eux détecte les ''' | + | * Avoir un '''[[antivirus]] à jour est aussi une excellente précaution car la plupart d'entre eux détecte les '''ransomwares''' |
* Créer une '''archive cryptée''' montable comme un '''[[disque dur]]''' et lui donner une '''[[extension]]''' exotique peut aussi permettre de sauvegarder provisoirement des fichiers sensibles (voir '''[[TrueCrypt]]''') | * Créer une '''archive cryptée''' montable comme un '''[[disque dur]]''' et lui donner une '''[[extension]]''' exotique peut aussi permettre de sauvegarder provisoirement des fichiers sensibles (voir '''[[TrueCrypt]]''') | ||
Version du 8 mars 2014 à 18:46
Sommaire
Présentation
Les ransomwares sont rapidement devenus les nouvelles terreurs du web du fait d'un fonctionnement particulièrement vicieux qui consiste à crypter les fichiers d'un utilisateur, voire de tous les utilisateurs raccordés sur un même réseau, et à exiger une rançon, payée soit par Bitcoins soit par virements cash, pour permettre une hypothétique suppression du cryptage.
Modes de contamination
- Majoritairement par e-mail, via des pièces jointes qui sont des exécutables maquillés en autres fichiers généralement de type pdf.
- Une fois exécutés, ils s’installent sur le disque dur hôte et peuvent aussi crypter les fichiers sur l'ensemble des disques durs raccordés y compris les disques durs réseaux et les NAS.
- Certains comme Cryptolocker ne seront opérationnels qu'une fois l'ordinateur rebooté
- Certains comme Cryptolocker se connecte au réseau sur un ordinateur pirate pour calculer les clés (publique et privée) de codage des fichiers sensibles.
- La clé publique est celle qui reste sur le PC contaminé. La clé privée est celle qui permet son débloquage et n'est accessible qu'une fois la rançon payée (enfin en théorie)
Fichiers ciblés
Selon Malwarebytes, les extensions de fichiers ciblés par Cryptolocker sont à ce jour : 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx. Ces extensions sont majoritairement celles de fichiers les plus usités par les professionnels à savoir :
Prévention
- Ne pas ouvrir de pdf joints de la part d'expéditeurs inconnus.
- Attention au faux e-mail d'entreprises de routage (DHL, UPS, etc.) faisant était d'un document joint à ouvrir
- Faire des sauvegardes des fichiers systèmes et documents, y compris dossiers courriers, sur disque dur externe ou sur cloud.
- Avoir un pare-feu permettra de bloquer tout demande d'accès au net de la part du ransomware ce qui peut interrompre son processus de cryptage
- Avoir un antivirus à jour est aussi une excellente précaution car la plupart d'entre eux détecte les ransomwares
- Créer une archive cryptée montable comme un disque dur et lui donner une extension exotique peut aussi permettre de sauvegarder provisoirement des fichiers sensibles (voir TrueCrypt)
Liens utiles - Français
- stopransomware.fr Stop Ransonware : un site consacré à la lutte contre les ransonwares
Liens utiles - Anglais
- blog.avast.com Can Avast! protect me against CryptoLocker?
- Malwarebyte Cryptolocker Ransomware: What You Need To Know
Article internes - Français
- Clubic - 09/01/14 PrisonLocker, un nouveau malware encore en développement qui inquiète déjà
- Zataz - 24/11/13 CryptoLocker : nouveau ransomware destructeur
Articles externes - Anglais
- TweakTown - 07/03/14 Study: Forty percent of those hit with Cryptolocker ransomware pay up
- readwrite.com - 07/01/14 It's bigger and meaner than Cryptolocker, but it still needs your permission to ruin your life.
- blog.kaspersky.com - 11/11/13 CryptoLocker is Bad News
