ransomware : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(Ransomwares connus)
(Système)
(6 révisions intermédiaires par un utilisateur sont masquées)
Ligne 29 : Ligne 29 :
  
 
== Modes de contamination ==
 
== Modes de contamination ==
* Majoritairement par '''[[email]]''', via des pièces jointes qui sont des exécutables maquillés en autres fichiers généralement de type '''[[pdf]]''' ou '''[[doc]]'''.
+
* Majoritairement par email, via des pièces jointes qui sont des exécutables maquillés en autres fichiers généralement de type '''[[pdf]]''' ou '''[[doc]]'''.
* Une fois exécutés, ils s’installent sur le '''[[disque dur]]''' hôte et peuvent aussi crypter les fichiers sur l'ensemble des '''[[disques durs]]''' raccordés y compris les '''[[disques durs]]''' réseaux et les NAS.
+
* Une fois exécutés, ils s'installent sur le '''[[disque dur]]''' hôte et peuvent aussi crypter les fichiers sur l'ensemble des disques durs raccordés y compris les disques durs réseaux et les NAS.
* Certains comme CryptoLocker ne seront opérationnels qu'une fois l''''[[ordinateur]]''' rebooté
+
* Certains comme CryptoLocker ne seront opérationnels qu'une fois l'ordinateur rebooté
* Certains comme CryptoLocker se connectent au '''[[réseau]]''' sur un '''[[ordinateur]]''' pirate pour calculer les clés (publique et privée) de codage des fichiers sensibles.  
+
* Certains comme CryptoLocker se connectent au '''[[réseau]]''' sur un ordinateur pirate pour calculer les clés (publique et privée) de codage des fichiers sensibles.  
 
* La clé publique est celle qui reste sur le '''[[PC]]''' contaminé. La clé privée est celle qui permet son déblocage et n'est accessible qu'une fois la rançon payée (enfin en théorie)
 
* La clé publique est celle qui reste sur le '''[[PC]]''' contaminé. La clé privée est celle qui permet son déblocage et n'est accessible qu'une fois la rançon payée (enfin en théorie)
  
Ligne 46 : Ligne 46 :
 
== Prévention ==
 
== Prévention ==
 
Ces précautions valent tout aussi bien sur un '''[[PC]]''' que sur une '''tablette''' ou un '''[[smartphone]]'''
 
Ces précautions valent tout aussi bien sur un '''[[PC]]''' que sur une '''tablette''' ou un '''[[smartphone]]'''
=== [[emails]] ===
+
=== emails ===
* Ne pas ouvrir de '''[[pdf]]''' joints de la part d'expéditeurs inconnus
+
* Ne pas ouvrir de pdf joints de la part d'expéditeurs inconnus
* Attention aux faux '''[[email]]''' d'entreprises de routage ('''DHL''', '''UPS''', etc.) faisant état d'un document joint à ouvrir
+
* Attention aux faux email d'entreprises de routage (DHL, Chronopost, UPS, etc.) faisant état d'un document joint à ouvrir
 
* Faire tester toutes les pièces jointes suspectes par '''[[antivirus#Antivirus_en_ligne|VirusTotal]]'''
 
* Faire tester toutes les pièces jointes suspectes par '''[[antivirus#Antivirus_en_ligne|VirusTotal]]'''
* Ne pas cliquer sur des '''[[liens]]''' suspects dans les '''[[emails]]''', y compris ceux de proches dont on a pu pirater le compte (c'est plus courant qu'on ne croit)
+
* Ne pas cliquer sur des liens suspects dans les emails, y compris ceux de proches dont on a pu pirater le compte (c'est plus courant qu'on ne croit)
  
 
=== [[Système]] ===
 
=== [[Système]] ===
* Faire des sauvegardes des fichiers '''[[système]]''' et documents, y compris dossiers courriers, sur '''[[disque dur]]''' externe uniquement
+
* Faire des sauvegardes des fichiers système et documents, y compris dossiers courriers, sur disque dur externe uniquement
* Ne pas laisser le '''[[disque dur]]''' de '''[[sauvegarde]]''' perpétuellement branché. Le débrancher quand toutes les '''[[sauvegardes]]''' sont faites
+
* Ne pas laisser le disque dur de '''[[sauvegarde]]''' perpétuellement connecté. Le déconnecter quand toutes les sauvegardes sont faites
* Avoir un '''[[pare-feu]]''' permettra de bloquer tout demande d'accès au '''[[net]]''' de la part du ransomware ce qui peut interrompre son processus de cryptage
+
* Avoir un pare-feu permettra de bloquer tout demande d'accès au net de la part du ransomware ce qui peut interrompre son processus de cryptage
 
* Installer un anti-ransomware parmi ceux proposés plus bas (voir '''[[ransomware#Programmes_utiles|Programme utiles]]''' plus bas)
 
* Installer un anti-ransomware parmi ceux proposés plus bas (voir '''[[ransomware#Programmes_utiles|Programme utiles]]''' plus bas)
* Avoir un '''[[antivirus]]''' à jour car beaucoup d'entre eux détectent certains ransomwares
+
* Avoir un antivirus à jour car beaucoup d'entre eux détectent certains ransomwares
 
* Créer une archive cryptée montable comme un '''[[disque dur]]''' et lui donner une '''[[extension]]''' exotique peut aussi permettre de '''[[sauvegarder]]''' provisoirement des fichiers sensibles (voir '''[[TrueCrypt]]''') -> Pas efficace avec les ransomwares qui cryptent l'intégralité du '''[[disque dur]]'''
 
* Créer une archive cryptée montable comme un '''[[disque dur]]''' et lui donner une '''[[extension]]''' exotique peut aussi permettre de '''[[sauvegarder]]''' provisoirement des fichiers sensibles (voir '''[[TrueCrypt]]''') -> Pas efficace avec les ransomwares qui cryptent l'intégralité du '''[[disque dur]]'''
* Mettre un '''[[mot de passe]]''' d'accès au '''[[BIOS]]''' pour éviter toute tentative d'écriture sur ce dernier
+
* Mettre un mot de passe d'accès au '''[[BIOS]]''' pour éviter toute tentative d'écriture sur ce dernier
 
* Protéger le master boot record (MBR) pour éviter toute tentative d'écriture sur ce dernier (voir '''[[ransomware#Programmes_utiles|Programme utiles]]''' plus bas)
 
* Protéger le master boot record (MBR) pour éviter toute tentative d'écriture sur ce dernier (voir '''[[ransomware#Programmes_utiles|Programme utiles]]''' plus bas)
 +
* Bloquer toute possibilité d'assistance ou de bureau à distance en désactivant le Remote Desktop Protocol comme expliqué dans l'article '''[[Remote Desktop Protocol]]'''
  
 
== Ransomwares connus ==
 
== Ransomwares connus ==
Ligne 223 : Ligne 224 :
 
* [http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/ Malwarebyte] Cryptolocker Ransomware: What You Need To Know
 
* [http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/ Malwarebyte] Cryptolocker Ransomware: What You Need To Know
 
* [http://www.utkusen.com/blog/destroying-the-encryption-of-hidden-tear-ransomware.html Utku Sen Blog] Destroying The Encryption of Hidden Tear Ransomware
 
* [http://www.utkusen.com/blog/destroying-the-encryption-of-hidden-tear-ransomware.html Utku Sen Blog] Destroying The Encryption of Hidden Tear Ransomware
 
= Articles [[Vulgum Techus]] =
 
* [[antivirus]]
 
* [[Remote Administration Tool]]
 
* [[sextorsion]]
 
* [[sécurité]]
 
  
 
= Articles externes - Français =
 
= Articles externes - Français =
 
* [https://www.frenchweb.fr/les-attaques-par-rancongiciel-sont-de-plus-en-plus-sophistiquees/355314 16/04/19] Les attaques par ransomware sont de plus en plus sophistiquées
 
* [https://www.frenchweb.fr/les-attaques-par-rancongiciel-sont-de-plus-en-plus-sophistiquees/355314 16/04/19] Les attaques par ransomware sont de plus en plus sophistiquées
* [https://www.itespresso.fr/no-more-ransom-lutte-rancongiciels-199653.html IT espresso - 26/10/18] No More Ransom : la lutte s’organise contre les rançongiciels
+
* [https://www.itespresso.fr/no-more-ransom-lutte-rancongiciels-199653.html IT espresso - 26/10/18] No More Ransom : la lutte s'organise contre les rançongiciels
 
* [https://www.numerama.com/tech/303119-ransomware-le-paiement-des-rancons-explique-leur-persistance.html Numerama - 03/11/17] Ransomware : le paiement des rançons explique leur persistance
 
* [https://www.numerama.com/tech/303119-ransomware-le-paiement-des-rancons-explique-leur-persistance.html Numerama - 03/11/17] Ransomware : le paiement des rançons explique leur persistance
 
* [https://www.generation-nt.com/ransomware-russe-cybercriminel-kaspersky-actualite-1939998.html GNT - 04/03/17] Les ransomwares ont des accents '''[[russophones]]'''
 
* [https://www.generation-nt.com/ransomware-russe-cybercriminel-kaspersky-actualite-1939998.html GNT - 04/03/17] Les ransomwares ont des accents '''[[russophones]]'''
 
* [https://www.undernews.fr/hacking-hacktivisme/ransomware-pres-de-30-000-bases-de-donnees-mongodb-attaquees-en-une-semaine.html Undernews - 11/01/17] Près de 30.000 '''[[bases de données]]''' MongoDB attaquées en une semaine !
 
* [https://www.undernews.fr/hacking-hacktivisme/ransomware-pres-de-30-000-bases-de-donnees-mongodb-attaquees-en-une-semaine.html Undernews - 11/01/17] Près de 30.000 '''[[bases de données]]''' MongoDB attaquées en une semaine !
* [https://www.clubic.com/television-tv/android-tv/actualite-823394-android-comment-debarasser-ransomware.html Clubic - 06/01/17] '''[[Android]]''' '''[[TV]]''' : comment se débarasser d’un ransomware
+
* [https://www.clubic.com/television-tv/android-tv/actualite-823394-android-comment-debarasser-ransomware.html Clubic - 06/01/17] '''[[Android]]''' '''[[TV]]''' : comment se débarasser d'un ransomware
* [https://www.undernews.fr/malwares-virus-antivirus/le-crime-organise-sempare-du-ransomware.html Undernews - 11/10/16] Le crime organisé s’empare du ransomware
+
* [https://www.undernews.fr/malwares-virus-antivirus/le-crime-organise-sempare-du-ransomware.html Undernews - 11/10/16] Le crime organisé s'empare du ransomware
 
* [https://www.undernews.fr/malwares-virus-antivirus/nouvelle-etude-trend-micro-sur-les-ransomwares.html Undernews - 05/10/16] Nouvelle étude Trend Micro sur les ransomwares
 
* [https://www.undernews.fr/malwares-virus-antivirus/nouvelle-etude-trend-micro-sur-les-ransomwares.html Undernews - 05/10/16] Nouvelle étude Trend Micro sur les ransomwares
 
* [https://www.clubic.com/os-mobile/android/actualite-811442-android-7-nougat-bloquera-ransomware-verrouillant-smartphones.html Clubic - 07/07/16] '''[[Android]]''' 7 Nougat bloquera les ransomware verrouillant les '''[[smartphones]]'''
 
* [https://www.clubic.com/os-mobile/android/actualite-811442-android-7-nougat-bloquera-ransomware-verrouillant-smartphones.html Clubic - 07/07/16] '''[[Android]]''' 7 Nougat bloquera les ransomware verrouillant les '''[[smartphones]]'''
Ligne 291 : Ligne 286 :
 
* [https://www.eteknix.com/linux-systems-targeted-new-ransomware/ eteknix - 11/11/15] '''[[Linux]]''' Systems Targeted by New Ransomware
 
* [https://www.eteknix.com/linux-systems-targeted-new-ransomware/ eteknix - 11/11/15] '''[[Linux]]''' Systems Targeted by New Ransomware
 
* [https://www.computerworld.com/article/3003461/security/first-linux-ransomware-program-cracked-for-now.html ComputerWorld - 10/11/15] First '''[[Linux]]''' ransomware '''[[program]]''' cracked, for now
 
* [https://www.computerworld.com/article/3003461/security/first-linux-ransomware-program-cracked-for-now.html ComputerWorld - 10/11/15] First '''[[Linux]]''' ransomware '''[[program]]''' cracked, for now
* [https://www.pcworld.com/article/3002119/encryption/new-ransomware-program-chimera-threatens-to-leak-user-files.html PCWorld - 05/11/15] Nasty new ransomware '''[[program]]''' threatens to leak your files online
+
* [https://www.pcworld.com/article/3002119/encryption/new-ransomware-program-chimera-threatens-to-leak-user-files.html PCWorld - 05/11/15] Nasty new ransomware program threatens to leak your files online
 
* [https://www.pcworld.com/article/2999824/all-coinvault-and-bitcryptor-ransomware-victims-can-now-recover-their-files-for-free.html PCWorld - 30/10/15] All CoinVault and Bitcryptor ransomware victims can now recover their files for free -> https://vt.cx/5g
 
* [https://www.pcworld.com/article/2999824/all-coinvault-and-bitcryptor-ransomware-victims-can-now-recover-their-files-for-free.html PCWorld - 30/10/15] All CoinVault and Bitcryptor ransomware victims can now recover their files for free -> https://vt.cx/5g
 
* [https://www.kitguru.net/gaming/security-software/jon-martindale/20-million-a-year-randsomware-group-disrupted-by-cisco/ KitGuru - 07/10/15]  million a year ransomware group disrupted by '''[[Cisco]]'''
 
* [https://www.kitguru.net/gaming/security-software/jon-martindale/20-million-a-year-randsomware-group-disrupted-by-cisco/ KitGuru - 07/10/15]  million a year ransomware group disrupted by '''[[Cisco]]'''
Ligne 305 : Ligne 300 :
 
* [https://www.tweaktown.com/news/41406/coinvault-ransomware-allows-victims-to-decrypt-one-file-for-free/index.html TweakTown - 25/11/14] CoinVault ransomware allows victims to decrypt one file for free
 
* [https://www.tweaktown.com/news/41406/coinvault-ransomware-allows-victims-to-decrypt-one-file-for-free/index.html TweakTown - 25/11/14] CoinVault ransomware allows victims to decrypt one file for free
 
* [https://blog.yoocare.com/how-to-remove-cryptowall-ransomware blog.yoocare.com - 10/11/14] How to Remove CryptoWall Ransomware?
 
* [https://blog.yoocare.com/how-to-remove-cryptowall-ransomware blog.yoocare.com - 10/11/14] How to Remove CryptoWall Ransomware?
* [https://www.itproportal.com/2014/08/06/a-cryptolocker-cure-has-finally-landed---and-its-free/ ITProPortal - 07/08/14] A cryptolocker cure has finally landed - and it’s FREE
+
* [https://www.itproportal.com/2014/08/06/a-cryptolocker-cure-has-finally-landed---and-its-free/ ITProPortal - 07/08/14] A cryptolocker cure has finally landed - and it's FREE
* [https://www.tweaktown.com/news/38243/simplelocker-ransomware-targets-android-encrypts-your-sd-card/index.html TweakTown - 05/06/14] Simplelocker ransomware targets '''[[Android]]''', encrypts your '''[[SD card]]'''
+
* [https://www.tweaktown.com/news/38243/simplelocker-ransomware-targets-android-encrypts-your-sd-card/index.html TweakTown - 05/06/14] Simplelocker ransomware targets Android, encrypts your '''[[SD card]]'''
 
* [https://www.tweaktown.com/news/37854/cryptolocker-increases-attack-levels-using-spear-phishing-techniques/index.html TweakTown - 28/05/14] CryptoLocker increases attack levels, using spear-'''[[phishing]]''' techniques
 
* [https://www.tweaktown.com/news/37854/cryptolocker-increases-attack-levels-using-spear-phishing-techniques/index.html TweakTown - 28/05/14] CryptoLocker increases attack levels, using spear-'''[[phishing]]''' techniques
 
* [https://www.eweek.com/mobile/how-to-recover-from-the-ios-ransom-attack.html eWeek - 27/05/14] How to Recover From the '''[[iOS]]''' Ransom Attack
 
* [https://www.eweek.com/mobile/how-to-recover-from-the-ios-ransom-attack.html eWeek - 27/05/14] How to Recover From the '''[[iOS]]''' Ransom Attack
* [https://arstechnica.com/security/2014/05/your-android-phone-viewed-illegal-porn-to-unlock-it-pay-a-300-fine/ arstechnica - 06/05/14] Your '''[[Android]]''' phone viewed illegal porn. To unlock it, pay a  fine
+
* [https://arstechnica.com/security/2014/05/your-android-phone-viewed-illegal-porn-to-unlock-it-pay-a-300-fine/ arstechnica - 06/05/14] Your Android phone viewed illegal porn. To unlock it, pay a  fine
 
* [https://www.tweaktown.com/news/36820/knowbe4-ransomware-threats-goes-beyond-just-cryptolocker/index.html TweakTown - 06/04/14] KnowBe4: Ransomware threats goes beyond just Cryptolocker
 
* [https://www.tweaktown.com/news/36820/knowbe4-ransomware-threats-goes-beyond-just-cryptolocker/index.html TweakTown - 06/04/14] KnowBe4: Ransomware threats goes beyond just Cryptolocker
 
* [https://www.tweaktown.com/news/36083/study-forty-percent-of-those-hit-with-cryptolocker-ransomware-pay-up/index.html TweakTown - 07/03/14] Study: Forty percent of those hit with Cryptolocker ransomware pay up
 
* [https://www.tweaktown.com/news/36083/study-forty-percent-of-those-hit-with-cryptolocker-ransomware-pay-up/index.html TweakTown - 07/03/14] Study: Forty percent of those hit with Cryptolocker ransomware pay up
Ligne 315 : Ligne 310 :
 
* [https://readwrite.com/2014/01/07/how-to-protect-against-prisonlocker-the-next-major-malware-threat readwrite.com - 07/01/14] It's bigger and meaner than Cryptolocker, but it still needs your permission to ruin your life.
 
* [https://readwrite.com/2014/01/07/how-to-protect-against-prisonlocker-the-next-major-malware-threat readwrite.com - 07/01/14] It's bigger and meaner than Cryptolocker, but it still needs your permission to ruin your life.
 
* [https://blog.kaspersky.com/cryptolocker-is-bad-news/ blog.kaspersky.com - 11/11/13] CryptoLocker is Bad News
 
* [https://blog.kaspersky.com/cryptolocker-is-bad-news/ blog.kaspersky.com - 11/11/13] CryptoLocker is Bad News
 +
 +
= Articles Vulgum Techus =
 +
* [[antivirus]]
 +
* [[Remote Desktop Protocol]]
 +
* [[Remote Administration Tool]]
 +
* [[sextorsion]]
 +
* [[sécurité]]
  
 
= Commentaires =  
 
= Commentaires =  

Version du 12 juillet 2019 à 23:54

Lien court vers cette page : https://vt.cx/cq3
QR code vers cette page : https://vt.cx/cq3.qr

Présentation

Les ransomwares sont rapidement devenus les nouvelles terreurs du web du fait d'un fonctionnement particulièrement vicieux qui consiste à crypter les fichiers d'un utilisateur, voire de tous les utilisateurs raccordés sur un même réseau, et à exiger une rançon, payée soit par Bitcoins soit par virements cash, pour permettre une hypothétique suppression du cryptage. Certains ransomware comme Koler.A ciblent les dispositifs Android après qu'ils aient été utilisés pour accéder à des sites pornographiques.

Update ! : Un site proposé par FireEye et Fox IT permet la désinfection des PC contaminés par CryptoLocker en faisant parvenir à ceux qui en font la demande, la clé privée permettant la décryptage des fichiers verrouillés par CryptoLocker. Pour cela envoyer les informations suivantes au lien plus bas :

  • email de contact
  • un exemple de fichier crypté par CryptoLocker (max 16 Mo)

En retour sera envoyée la clé privée permettant la décontamination sans avoir à payer la moindre rançon !

https://www.decryptcryptolocker.com

Modes de contamination

  • Majoritairement par email, via des pièces jointes qui sont des exécutables maquillés en autres fichiers généralement de type pdf ou doc.
  • Une fois exécutés, ils s'installent sur le disque dur hôte et peuvent aussi crypter les fichiers sur l'ensemble des disques durs raccordés y compris les disques durs réseaux et les NAS.
  • Certains comme CryptoLocker ne seront opérationnels qu'une fois l'ordinateur rebooté
  • Certains comme CryptoLocker se connectent au réseau sur un ordinateur pirate pour calculer les clés (publique et privée) de codage des fichiers sensibles.
  • La clé publique est celle qui reste sur le PC contaminé. La clé privée est celle qui permet son déblocage et n'est accessible qu'une fois la rançon payée (enfin en théorie)

Fichiers ciblés

Selon Malwarebytes, les extensions de fichiers ciblés par Cryptolocker sont à ce jour : 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx. Ces extensions sont majoritairement celles de fichiers les plus usités par les professionnels à savoir :

De récents ransomwares ne se contentent plus de crypter des fichiers précis avec une clé unique et vont encore plus loin comme :

  • Petya : cryptage de l'intégralité du disque dur
  • CryPy : cryptage de chaque fichier avec une clé différente

Prévention

Ces précautions valent tout aussi bien sur un PC que sur une tablette ou un smartphone

emails

  • Ne pas ouvrir de pdf joints de la part d'expéditeurs inconnus
  • Attention aux faux email d'entreprises de routage (DHL, Chronopost, UPS, etc.) faisant état d'un document joint à ouvrir
  • Faire tester toutes les pièces jointes suspectes par VirusTotal
  • Ne pas cliquer sur des liens suspects dans les emails, y compris ceux de proches dont on a pu pirater le compte (c'est plus courant qu'on ne croit)

Système

  • Faire des sauvegardes des fichiers système et documents, y compris dossiers courriers, sur disque dur externe uniquement
  • Ne pas laisser le disque dur de sauvegarde perpétuellement connecté. Le déconnecter quand toutes les sauvegardes sont faites
  • Avoir un pare-feu permettra de bloquer tout demande d'accès au net de la part du ransomware ce qui peut interrompre son processus de cryptage
  • Installer un anti-ransomware parmi ceux proposés plus bas (voir Programme utiles plus bas)
  • Avoir un antivirus à jour car beaucoup d'entre eux détectent certains ransomwares
  • Créer une archive cryptée montable comme un disque dur et lui donner une extension exotique peut aussi permettre de sauvegarder provisoirement des fichiers sensibles (voir TrueCrypt) -> Pas efficace avec les ransomwares qui cryptent l'intégralité du disque dur
  • Mettre un mot de passe d'accès au BIOS pour éviter toute tentative d'écriture sur ce dernier
  • Protéger le master boot record (MBR) pour éviter toute tentative d'écriture sur ce dernier (voir Programme utiles plus bas)
  • Bloquer toute possibilité d'assistance ou de bureau à distance en désactivant le Remote Desktop Protocol comme expliqué dans l'article Remote Desktop Protocol

Ransomwares connus

Les ransomwares en rouge sont ceux pour lesquels existent des outils de récupération et d'éradication.

Vidéos

Malwarebytes Anti-Ransomware Sneak Peek!

Programmes utiles

Liens utiles

Articles externes - Français

Articles externes - Anglais

Articles Vulgum Techus

Commentaires

blog comments powered by Disqus