• Qu'est-ce qu'un rançongiciel ?
• Historique des attaques de ransomwares
• Comment fonctionnent les attaques de ransomware ?
• Types d'attaques de rançongiciels
• Exemples de rançongiciels
• Attaques de rançongiciels populaires
• Techniques de suppression des rançongiciels
• Conseils de protection contre les ransomwares
• Nos solutions
  

Le ransomware est un type de  malware  .  Ransomware signifie que l'attaquant peut verrouiller votre ordinateur, généralement via un lien de messagerie infecté ou un assaut de cheval de Troie, et exiger un paiement en échange de vous rendre le contrôle de votre système.

Certaines des variantes de ransomware vous feront penser que quelque chose ne va pas avec votre ordinateur et vous feront payer pour cela.

L'une des tactiques les plus répandues consiste à prétendre que quelque chose a infecté votre ordinateur dans les bannières publicitaires.  Souvent, vous aurez au moins une gestion système rudimentaire, donc le seul vrai problème est que vous devez gérer ces pop-ups fréquents jusqu'à ce que vous trouviez un moyen de vous débarrasser du malware, là, vous avez de la chance, c'est un gentil malware..

Un type de ransomware beaucoup plus aggravant verrouillerait complètement votre ordinateur et vous empêcherait de vous connecter à votre système d'exploitation à moins que vous ne payiez une ranson à des pirates, généralement venus des pays de l'Est.

Le pire type de ransomware est celui qui non seulement verrouille votre appareil mais crypte également vos fichiers et ne vous fournit pas les clés pour les décrypter à moins que vous ne payiez le prix fort.

Un autre problème sans surprise avec les cybercriminels est qu'ils ne sont pas très dignes de confiance, et de nombreuses personnes ont déclaré ne pas avoir reçu leurs fichiers même après avoir payé la rançon.

L'outil de décryptage du ransomware est une clé de décryptage fournie par le pirate après le paiement de la rançon.

Les logiciels malveillants existent depuis l'aube d'Internet.  en bref, un logiciel malveillant est un logiciel créé à des fins malveillantes.  Les logiciels malveillants se propagent aux ordinateurs via des spams, des liens trompeurs, de fausses mises à jour logicielles et en exploitant les vulnérabilités du navigateur Web et des logiciels populaires.

Il y a une dizaine d'années, un nouveau type de malware particulièrement sinistre appelé ransomware est apparu.  En 2005, des criminels russes ont créé le premier logiciel de rançon, détecté sous le nom de Trojan Crysis.

Il s'agissait d'un parasite rudimentaire qui compressait et protégeait par mot de passe les fichiers d'un utilisateur, et la note de rançon se trouvait sur le bureau de l'utilisateur.

En 2012, des attaques de rançongiciels se sont propagées à travers l'Europe et l'Amérique du Nord, se faisant passer pour des avertissements gouvernementaux accusant les victimes de piratage et de terrorisme.  Les victimes ont ensuite été encouragées à payer des frais de 200 $ ou à faire face à des poursuites pénales.

En 2013, les créateurs de rançongiciels extorquaient déjà plus de trois millions de dollars à leurs victimes chaque année.

Ensuite, CryptoLocker a été introduit et les enjeux ont rapidement doublé.  CryptoLocker représente un nouveau type de logiciel malveillant qui crypte les photographies, les papiers et d'autres informations personnelles des utilisateurs à l'aide d'une clé secrète unique pour chaque utilisateur.  La clé de déchiffrement n'est restaurée qu'après avoir payé la rançon aux criminels.

Le 10 janvier 2015, le  FBI  a publié une déclaration officielle indiquant que les attaques de ransomwares sont en augmentation, soulignant qu'une nouvelle souche de ransomwares, CryptoWall, chiffre les données des utilisateurs et exige entre 200 et 5 000 dollars en Bitcoin pour restaurer les données.

En 2022, 5000 dollars est une toute petite rançon pour un PME, 200.000 est une rançon régulièrement vue pour débloquer un hopital ou une institution.

Il y a beaucoup de PME qui tombent à cause d'un ransomware, payé ou non.

    Non payé, plusde data.

    Payé, plus de cash.

    Les rançons payé en noir fragilisent l'économie de la société qui tombent dans les 12 mois.

Tout cela pour un manque de protection, d'utilsation d'un vieux pc dans la société, l'oubli d'un anti crypto sur le PC d'un collaborateur qui passe de temps en temps dans l'entreprise...

Bref, à chacun son métier.

Maintenant que nous savons ce qu'est une attaque de ransomware.  Plongeons plus loin pour savoir comment fonctionnent les attaques de ransomware.  Il existe de nombreux vecteurs par lesquels les rançongiciels pourraient accéder à un ordinateur.  L'un d'entre eux est le phishing :

• L'attaquant envoie à la victime un e-mail qui semble provenir d'un site Web réputé.  Si l'utilisateur clique sur le courrier, le programme sera téléchargé.  Les logiciels malveillants peuvent exécuter diverses fonctions une fois qu'ils ont accès à la machine.  Le virus reste non détecté pendant un laps de temps spécifié lors de l'exploitation du système.

• Le ransomware prend le contrôle de l'ordinateur.  Il utilise la cryptographie à clé asymétrique.  Les paires de clés publiques et privées sont générées par l'attaquant.  Après un exploit réussi, le rançongiciel tombe et exécute un binaire malveillant sur le système infecté.  Ce binaire recherche et crypte ensuite des fichiers précieux tels que des documents Microsoft Word, des images et des bases de données.
  
  Le ransomware peut également exploiter les vulnérabilités du système et du réseau pour se propager à d'autres systèmes et éventuellement à des organisations entières.

• L'attaquant avertit la victime que si la rançon n'est pas payée, les données seront publiées publiquement ou définitivement effacées.

• Si l'utilisateur accepte la rançon et la paie, l'attaquant fournira à l'utilisateur une clé de décryptage, permettant à l'utilisateur de retrouver l'accès au système.

• L'obtention de la clé de déchiffrement du pirate n'est pas garantie.  Les victimes ont signalé qu'elles n'avaient pas eu accès au système ou n'avaient pas reçu la clé de déchiffrement même après avoir payé la rançon.

Il existe principalement trois types différents de rançongiciels qui ont retenu les victimes en otage et les ont forcées à se plier aux demandes de rançon.  Les types de rançongiciels sont répertoriés ci-dessous :

• Crypto ransomware :  ce type de ransomware crypte les fichiers et les documents sur un ordinateur afin que l'utilisateur ne puisse pas y accéder.  L'attaquant demande à la victime de payer la rançon pour récupérer les fichiers dans leur forme d'origine.
  Ce ransomware est la forme de malware qui attaque un ordinateur et restreint l'accès de l'utilisateur aux fichiers stockés sur l'ordinateur en les cryptant.
  Par exemple, Locky, Wannacry, Bad Rabbit, Ryuk, SamSam, Petya et TeslaCrypt

• Ransomware Locker : Le ransomware  Locker verrouille la victime hors de ses appareils, l'empêchant d'utiliser l'ordinateur.  Il demande à la victime de payer une rançon pour déverrouiller l'appareil, communément appelé rançongiciel de verrouillage d'écran.
  Ce type de rançongiciel empêche l'utilisateur ou la victime d'accéder à son appareil.  Le ransomware fait apparaître la fenêtre avec la demande de rançon pour déverrouiller l'appareil.
  Par exemple, MrLocker, escroquerie de la police métropolitaine et escroquerie MoneyPak du FBI

• Doxware :  Doxware menace de divulguer des informations sensibles si la rançon n'est pas payée.  Dox signifie documents et doxing est l'acte de publier les informations personnelles de quelqu'un en ligne.  Le doxing est la pratique basée sur Internet de rechercher et de diffuser publiquement des informations privées et identifiables sur un individu ou une organisation.
  Par exemple, le Dark Overlord et le Leaker Loker

Exemples de rançongiciels

Voici quelques exemples de rançongiciels répertoriés :

• Locky :  Locky est une sorte d'attaque par rançongiciel.  Un gang de pirates a publié Locky en 2016. Locky, qui peut chiffrer plus de 160 types de fichiers, se propage en incitant les utilisateurs à l'installer via des e-mails de phishing contenant des pièces jointes malveillantes.  Cette technique de transmission est connue sous le nom de phishing et c'est un type d'ingénierie sociale.

• Bad Rabbit :  L'assaut du rançongiciel Bad Rabbit se propage à l'aide d'une technique connue sous le nom de téléchargements au volant.  Des sites Web non sécurisés sont choisis et utilisés pour lancer une attaque.  Dans une attaque de rançongiciel drive-by, une personne accède à un site Web authentique sans savoir qu'il a été piraté par un pirate informatique.  Lorsqu'une personne installe un logiciel malveillant à partir d'un site Web, elle est infectée.  Bad Rabbit est également appelé un compte-gouttes de logiciels malveillants.

• Ryuk :  le rançongiciel Ryuk est apparu pour la première fois en août 2018 ;  il a bloqué la restauration du système Windows, ce qui la rend essentielle pour restaurer les informations chiffrées sans sauvegarde.  De nombreuses organisations ciblées aux États-Unis ont payé les rançons demandées.  Selon des sources, l'attaque a rapporté plus de 640 000 $.

• LockerGoga :  LockerGoga est le type de ransomware le plus récent, le plus ciblé et le plus destructeur.  Il semble avoir à la fois des capacités de rançongiciel et d'effacement.  Les versions ultérieures de ce type de virus rançongiciel déconnectaient de force les victimes de l'appareil infecté.  C'est une approche très différente des rançongiciels typiques.  Seule une poignée de produits anti-malware ont pu détecter et neutraliser LockerGoga.

Parlons de l'attaque de virus ransomware qui a provoqué une violation de données à grande échelle.

• Ransomware WannaCry :  WannaCry  , une énorme attaque de piratage qui a déclenché une dévastation informatique généralisée, a attaqué des ordinateurs partout dans le monde.  Le 14 mai 2017, plus de 200 000 machines dans plus de 150 pays ont été compromises.  L'attaque n'a pas semblé créer de dommages importants à long terme, et les pirates n'ont gagné qu'environ 100 000 $ au total.  Le monde a été témoin de l'une des attaques informatiques les plus massives et les plus bizarres de l'histoire.
  
  Le ransomware WannaCry est un exemple d'attaque de ransomware dans laquelle les données sont infectées.  Il existe de nombreux autres types de rançongiciels, mais le rançongiciel WannaCry s'est propagé rapidement en exploitant un outil que les experts en sécurité soupçonnent d'avoir été créé par la NSA.  Pour être clair, la NSA n'était pas intéressée par la rançon, juste par l'espionnage ! ;  mais il a créé un outil qui a profité d'une faille de sécurité dans les logiciels Microsoft.  Les pirates ont configuré leur système de paiement de rançon de manière à ne pas savoir qui a payé la rançon, et il a été configuré de manière à ce qu'ils aient à déchiffrer manuellement les fichiers de chaque victime.

Techniques de suppression des rançongiciels

Si vous pensez avoir été victime d'une attaque par ransomware, vous devez agir rapidement.  Néanmoins, vous pouvez prendre de nombreuses mesures pour vous offrir les meilleures chances de réduire les dommages et de reprendre rapidement les opérations normales.

• Détachez l'appareil infecté : les  logiciels malveillants qui n'affectent qu'un seul appareil constituent une gêne mineure.  Laisser les rançongiciels infecter tous vos appareils est un grand désastre qui peut vous faire quitter l'entreprise pour toujours.  La distinction est souvent déterminée par la vitesse de réponse.

• Examinez les dommages :  pour identifier les machines qui ont été compromises, recherchez des données nouvellement cryptées avec des noms de fichiers exécutables inhabituels, ainsi que des rapports de noms de fichiers inhabituels ou de personnes ayant des difficultés à accéder aux fichiers.  Si vous trouvez un équipement qui n'est pas correctement crypté, isolez-le et éteignez-le pour aider à contenir l'agression et éviter des dommages supplémentaires et la perte de données.
  Votre objectif est de dresser un inventaire complet de tous les systèmes impactés : stockage de données, services cloud, traitement des disques durs portables, en particulier les clés USB, les postes de travail, les téléphones portables et à peu près tous les autres vecteurs potentiels.

• Diagnostiquer le ransomware :  Avant de poursuivre, il est essentiel de déterminer la version du ransomware avec laquelle vous avez affaire.

• Signalez le rançongiciel à la police :  Pour de nombreuses raisons, vous devez informer la police dès que le logiciel malveillant a été contrôlé.  Tout d'abord, les rançongiciels sont illégaux et, comme pour toute infraction similaire, doivent être portés à la connaissance des autorités.
  Deuxièmement, selon le FBI, les forces de l'ordre peuvent être en mesure d'utiliser une autorité légale et des capacités que la plupart des organisations n'ont pas.  Des partenariats avec des forces de l'ordre étrangères peuvent être utilisés pour aider à la récupération de données volées ou cryptées et à la poursuite des contrevenants.

• Examinez vos sauvegardes :  Il est temps de lancer la procédure de réponse.  La méthode la plus simple consiste à restaurer vos systèmes à partir d'une sauvegarde afin de disposer de données intactes et utiles à restaurer pour une utilisation ultérieure. Si tel est le cas, l'étape suivante consiste à utiliser une solution de protection antivirus pour garantir que tous les systèmes et périphériques concernés sont exempts de rançongiciels ;  sinon, il continuera à verrouiller votre ordinateur et vos données, ce qui pourrait ruiner votre sauvegarde.

• Étudiez vos  options de  déchiffrement  : Si vous n'avez pas de sauvegarde, il y a toujours une chance que vous puissiez récupérer vos données si une clé de déchiffrement pour le type de rançongiciel auquel vous faites affaire est disponible.

Conseils de protection contre les ransomwares

La protection contre les ransomwares est la première étape pour se défendre contre une attaque.  Vous pouvez prendre certaines mesures pour protéger votre ordinateur et vos appareils contre les infiltrations de ransomwares.  Voici une liste de choses à garder à l'esprit :

• Ayez toujours une sauvegarde de vos données.  Si vous disposez d'une sauvegarde supplémentaire d'informations personnelles, vous devriez pouvoir la consulter même si une tentative a été faite pour la verrouiller.

• Configurez un logiciel de défense contre les ransomwares fiable.

• Conservez les versions les plus récentes de votre système d'exploitation, de vos applications et de vos logiciels de sécurité.  Cela vous aide à vous protéger contre les logiciels malveillants les plus récents en utilisant les correctifs de sécurité les plus récents.

• N'ouvrez jamais les pièces jointes des e-mails et ne cliquez jamais sur des liens provenant de sources inconnues, car ils pourraient être infectés par des logiciels malveillants.

• Soyez prudent lorsque vous utilisez Internet;  les sites Web malveillants et les publicités contextuelles attendent avec impatience votre clic.

• Surfez sur Internet sur des réseaux Wi-Fi non sécurisés à vos risques et périls.

• L'utilisation d'un réseau privé virtuel (VPN) peut vous permettre de garder vos informations secrètes.

• N'utilisez jamais de clés USB provenant de sources non fiables.  Vous ne devez pas fournir aux attaquants un chemin facile.

Conclusion

Les ransomwares, sous toutes leurs formes et permutations, représentent un énorme danger pour les utilisateurs ordinaires et les entreprises.  Cela souligne l'importance de garder un œil sur la menace et d'être préparé à toute éventualité.  Par conséquent, il est essentiel de vous renseigner sur les ransomwares, de faire attention à la façon dont vous utilisez les gadgets et d'installer le meilleur logiciel de protection.

Actualité des ransomwares

Découvrez nos certifications pour nos  datacenters