ransomware : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(Articles externes - Anglais)
Ligne 4 : Ligne 4 :
 
[[Catégorie:Police]]
 
[[Catégorie:Police]]
 
[[Catégorie:Sécurité]]
 
[[Catégorie:Sécurité]]
 +
[[Catégorie:Windows]]
 
  '''[[Lien court]]''' vers cette page : https://vt.cx/cq3
 
  '''[[Lien court]]''' vers cette page : https://vt.cx/cq3
 
  '''[[QR code]]''' vers cette page : https://vt.cx/cq3.qr
 
  '''[[QR code]]''' vers cette page : https://vt.cx/cq3.qr
Ligne 207 : Ligne 208 :
 
* [https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/ labs.bitdefender.com] '''Bitdefender Labs : Combination Crypto-Ransomware Vaccine vaccin anti-ransomware [[gratuit]]''' -> https://vt.cx/7v
 
* [https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/ labs.bitdefender.com] '''Bitdefender Labs : Combination Crypto-Ransomware Vaccine vaccin anti-ransomware [[gratuit]]''' -> https://vt.cx/7v
 
* [http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/ labs.bitdefender.com] '''CryptoWall Vaccine''' : un utilitaire résident qui empêche CrytoWall 4.0 des crypter des fichiers même s'il est installé sur le système
 
* [http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/ labs.bitdefender.com] '''CryptoWall Vaccine''' : un utilitaire résident qui empêche CrytoWall 4.0 des crypter des fichiers même s'il est installé sur le système
* [https://ransomfree.cybereason.com ransomfree.cybereason.com] '''RansomFree''' de Cybereason : un outil '''[[gratuit]]''' qui protège '''[[Windows]]''' contre les ransomwares en les leurant -> https://vt.cx/bG
+
* [https://ransomfree.cybereason.com ransomfree.cybereason.com] '''RansomFree''' de Cybereason : un outil '''[[gratuit]]''' qui protège Windows contre les ransomwares en les leurant -> https://vt.cx/bG
 
* [https://github.com/vrtadmin/MBRFilter/releases/tag/1.0 github.com] '''MBRFilter''' : protège la MBR (master boot record) contre les attaques de ransomwares -> https://vt.cx/5o
 
* [https://github.com/vrtadmin/MBRFilter/releases/tag/1.0 github.com] '''MBRFilter''' : protège la MBR (master boot record) contre les attaques de ransomwares -> https://vt.cx/5o
  
Ligne 263 : Ligne 264 :
 
* [https://motherboard.vice.com/en_us/article/the-worlds-first-ransomware-came-on-a-floppy-disk-in-1989 Vice - 12/04/17] The World's First Ransomware Came on a Floppy Disk in 1989
 
* [https://motherboard.vice.com/en_us/article/the-worlds-first-ransomware-came-on-a-floppy-disk-in-1989 Vice - 12/04/17] The World's First Ransomware Came on a Floppy Disk in 1989
 
* [https://www.pcworld.com/article/3126256/security/ransomware-spreads-through-weak-remote-desktop-credentials.html PCWorld - 30/09/16] Ransomware spreads through weak remote desktop '''[[credentials]]'''
 
* [https://www.pcworld.com/article/3126256/security/ransomware-spreads-through-weak-remote-desktop-credentials.html PCWorld - 30/09/16] Ransomware spreads through weak remote desktop '''[[credentials]]'''
* [https://www.geek.com/microsoft/guy-tricks-windows-tech-support-scammers-into-installing-ransomware-1665967/ Geek - 13/08/16] Guy tricks '''[[Windows]]''' tech support scammers into installing ransomware
+
* [https://www.geek.com/microsoft/guy-tricks-windows-tech-support-scammers-into-installing-ransomware-1665967/ Geek - 13/08/16] Guy tricks Windows tech support scammers into installing ransomware
 
* [https://www.neowin.net/news/ransomware-can-now-infect-your-smart-thermostat Neowin - 08/08/16] Ransomware can now infect your '''[[smart thermostat]]'''
 
* [https://www.neowin.net/news/ransomware-can-now-infect-your-smart-thermostat Neowin - 08/08/16] Ransomware can now infect your '''[[smart thermostat]]'''
 
* [https://www.computerworld.com/article/3103489/security/almost-half-of-us-businesses-hit-by-ransomware-says-study.html ComputerWorld - 03/08/16] Almost half of '''[[US]]''' '''[[businesses]]''' hit by ransomware, says study
 
* [https://www.computerworld.com/article/3103489/security/almost-half-of-us-businesses-hit-by-ransomware-says-study.html ComputerWorld - 03/08/16] Almost half of '''[[US]]''' '''[[businesses]]''' hit by ransomware, says study
Ligne 290 : Ligne 291 :
 
* [https://www.kitguru.net/gaming/security-software/jon-martindale/20-million-a-year-randsomware-group-disrupted-by-cisco/ KitGuru - 07/10/15]  million a year ransomware group disrupted by '''[[Cisco]]'''
 
* [https://www.kitguru.net/gaming/security-software/jon-martindale/20-million-a-year-randsomware-group-disrupted-by-cisco/ KitGuru - 07/10/15]  million a year ransomware group disrupted by '''[[Cisco]]'''
 
* [https://www.pcworld.com/article/2983138/security/android-ransomware-changes-a-devices-pin-code.html PCWorld - 11/09/15] This nasty '''[[Android]]''' ransomware changes your '''[[phone]]''''s '''[[PIN code]]'''
 
* [https://www.pcworld.com/article/2983138/security/android-ransomware-changes-a-devices-pin-code.html PCWorld - 11/09/15] This nasty '''[[Android]]''' ransomware changes your '''[[phone]]''''s '''[[PIN code]]'''
* [https://www.eteknix.com/windows-10-ransomware-discovered/ eTeknix - 03/07/15] '''[[Windows]]''' 10 Ransomware Discovered
+
* [https://www.eteknix.com/windows-10-ransomware-discovered/ eTeknix - 03/07/15] Windows 10 Ransomware Discovered
 
* [https://www.neowin.net/news/kasperskys-free-decryption-tool-may-unlock-your-data-from-coinvault-ransomware Neowin - 15/04/15] Kaspersky's free decryption tool may unlock your data from CoinVault ransomware
 
* [https://www.neowin.net/news/kasperskys-free-decryption-tool-may-unlock-your-data-from-coinvault-ransomware Neowin - 15/04/15] Kaspersky's free decryption tool may unlock your data from CoinVault ransomware
 
* [https://www.pcworld.com/article/2904016/ransomware-alert-pacman-scheme-uses-dropbox-link-to-gobble-victims.html PC World - 03/04/15] Ransomware alert: Pacman scheme uses '''[[Dropbox]]''' link to gobble victims
 
* [https://www.pcworld.com/article/2904016/ransomware-alert-pacman-scheme-uses-dropbox-link-to-gobble-victims.html PC World - 03/04/15] Ransomware alert: Pacman scheme uses '''[[Dropbox]]''' link to gobble victims

Version du 25 juin 2019 à 22:23

Lien court vers cette page : https://vt.cx/cq3
QR code vers cette page : https://vt.cx/cq3.qr

Présentation

Les ransomwares sont rapidement devenus les nouvelles terreurs du web du fait d'un fonctionnement particulièrement vicieux qui consiste à crypter les fichiers d'un utilisateur, voire de tous les utilisateurs raccordés sur un même réseau, et à exiger une rançon, payée soit par Bitcoins soit par virements cash, pour permettre une hypothétique suppression du cryptage. Certains ransomware comme Koler.A ciblent les dispositifs Android après qu'ils aient été utilisés pour accéder à des sites pornographiques.

Update ! : Un site proposé par FireEye et Fox IT permet la désinfection des PC contaminés par CryptoLocker en faisant parvenir à ceux qui en font la demande, la clé privée permettant la décryptage des fichiers verrouillés par CryptoLocker. Pour cela envoyer les informations suivantes au lien plus bas :

  • email de contact
  • un exemple de fichier crypté par CryptoLocker (max 16 Mo)

En retour sera envoyée la clé privée permettant la décontamination sans avoir à payer la moindre rançon !

https://www.decryptcryptolocker.com

Modes de contamination

  • Majoritairement par email, via des pièces jointes qui sont des exécutables maquillés en autres fichiers généralement de type pdf ou doc.
  • Une fois exécutés, ils s’installent sur le disque dur hôte et peuvent aussi crypter les fichiers sur l'ensemble des disques durs raccordés y compris les disques durs réseaux et les NAS.
  • Certains comme CryptoLocker ne seront opérationnels qu'une fois l'ordinateur rebooté
  • Certains comme CryptoLocker se connectent au réseau sur un ordinateur pirate pour calculer les clés (publique et privée) de codage des fichiers sensibles.
  • La clé publique est celle qui reste sur le PC contaminé. La clé privée est celle qui permet son déblocage et n'est accessible qu'une fois la rançon payée (enfin en théorie)

Fichiers ciblés

Selon Malwarebytes, les extensions de fichiers ciblés par Cryptolocker sont à ce jour : 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx. Ces extensions sont majoritairement celles de fichiers les plus usités par les professionnels à savoir :

De récents ransomwares ne se contentent plus de crypter des fichiers précis avec une clé unique et vont encore plus loin comme :

  • Petya : cryptage de l'intégralité du disque dur
  • CryPy : cryptage de chaque fichier avec une clé différente

Prévention

Ces précautions valent tout aussi bien sur un PC que sur une tablette ou un smartphone

emails

  • Ne pas ouvrir de pdf joints de la part d'expéditeurs inconnus
  • Attention aux faux email d'entreprises de routage (DHL, UPS, etc.) faisant état d'un document joint à ouvrir
  • Faire tester toutes les pièces jointes suspectes par VirusTotal
  • Ne pas cliquer sur des liens suspects dans les emails, y compris ceux de proches dont on a pu pirater le compte (c'est plus courant qu'on ne croit)

Système

  • Faire des sauvegardes des fichiers système et documents, y compris dossiers courriers, sur disque dur externe uniquement
  • Ne pas laisser le disque dur de sauvegarde perpétuellement branché. Le débrancher quand toutes les sauvegardes sont faites
  • Avoir un pare-feu permettra de bloquer tout demande d'accès au net de la part du ransomware ce qui peut interrompre son processus de cryptage
  • Installer un anti-ransomware parmi ceux proposés plus bas (voir Programme utiles plus bas)
  • Avoir un antivirus à jour car beaucoup d'entre eux détectent certains ransomwares
  • Créer une archive cryptée montable comme un disque dur et lui donner une extension exotique peut aussi permettre de sauvegarder provisoirement des fichiers sensibles (voir TrueCrypt) -> Pas efficace avec les ransomwares qui cryptent l'intégralité du disque dur
  • Mettre un mot de passe d'accès au BIOS pour éviter toute tentative d'écriture sur ce dernier
  • Protéger le master boot record (MBR) pour éviter toute tentative d'écriture sur ce dernier (voir Programme utiles plus bas)

Ransomwares connus

Les ransomwares en rouge sont ceux pour lesquels existent des outils de récupération et d'éradication.

Vidéos

Malwarebytes Anti-Ransomware Sneak Peek!

Programmes utiles

Liens utiles

Articles Vulgum Techus

Articles externes - Français

Articles externes - Anglais

Commentaires

blog comments powered by Disqus