Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Cryptoware

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
07.04.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Ajout liste de synonymes de Cryptoware

Cryptoware - Classe de logiciels malveillants chiffrant de manière irréversible tous les fichiers utilisateurs et demandant une rançon pour fournir la clé de décryptage. C'est une variante dure des ransomwares.

Cryptoware

Dossier : Cryptoware - Ransomware

Dossier : Cryptoware - Ransomware

Ransomware (logiciels de demande de rançon)
Cryptowares (logiciels de demande de rançon)
Ingénierie sociale

Synonymes
Virus d'extortion
Cryptovirus d'extorsion
Rançongiciel
Virus Gendarmerie

Cryptowares
Crypto Locker (ou CryptoLocker)
CryptoLocker Copycat (imitations de CryptoLocker)
SynoLocker
PrisonLocker
PowerLocker
CTB Locker (Curve-Tor-Bitcoin Locker ou Critroni)
Locker
CryptorBit
TorrentLocker
CryptoWall
CryptoDefense
Gameover Zeus
KeyBTC
Koler : un ransomware Android
OphionLocker
TeslaCrypt
Alpha Crypt
Rector (déchiffrement possible sans rançon)
Xorast (déchiffrement possible sans rançon)
Hanar (déchiffrement possible sans rançon)
Rakhni (déchiffrement possible sans rançon)
Svpeng (1)

Origine des attaques
Exploitation d'une faille de sécurité
Flash Player pas à jour
Silverlight pas à jour
Acrobat Reader pas à jour
Java pas à jour
ActiveX pas désactivé
Drive-by download
Cheval de Troie
Faux codecs
Publicités trompeuses
Virus PEBCAK

Contre-mesures
Entretien périodique d'un PC
Mise à jour de tous les plugins
Bloquer tous les mécanismes publicitaires
Eviter les téléchargeurs et installeurs piégés
Malwarebytes Anti-Malware (MBAM) Premium
Cryptomonitor
Cryptoprevent Malware Prevention
Versions précédentes des fichiers

Assimilables aux Ransomwares
DDoS (Distributed Denial of Service)

CryptowareCryptowareCryptoware

Les malveillances prennent toutes les formes possibles et il s'en invente de nouvelles chaque jour, mais l'une des variantes des Ransomwares, sous le nom de classe de Cryptowares, est la pire attaque qui puisse pénétrer un ordinateur, le pire cauchemar des utilisateurs.

En raison des niveaux de qualité des algorithmes de chiffrement à clés assymétriques, il n'y a aucun moyen de récupérer les fichiers cryptés, sauf à disposer de la clé de déchiffrement, donc payer le cybercriminel.

Les seuls cas où la récupération des données a été possible sont :

  • Le cybercriminel a mal fait son travail et des failles ont put être exploitées pour inverser le processus de chiffrement (en particulier, il a laissé des traces dans les machines de ses victimes)
  • Les machines utilisées par le cybercriminel (les C&C - Command and Control) pour piloter le botnet d'attaque ont pût être localisées et saisies (ou pénétrées), et les clés de déchiffrement des données des victimes récupérées. Par la mise en place d'un mécanisme d'analyse, après fourniture par les victimes d'un échantillon crypté par ce cryptoware (pas par un autre), la clé de déchiffrement identifiée a été transmise à la victime.

Cryptowares = Ransomwares avec chiffrement (cryptage) des données des victimes.

Autres noms (synonymes) :

  • Virus de chiffrement des données
  • Virus de chiffrement des fichiers
  • File-encrypting viruses
  • Data-encrypting viruses
  • Ransomware de chiffrement des données
  • Ransomware de chiffrement des fichiers
  • File-encrypting ransomware
  • Data-encrypting ransomware

L'argent que rapportent les Ransomwares

En 2012, Symantec (Norton), en utilisant les données prélévées sur une machine cybercriminelle de C&C (Commande et contrôle (C2)) d’un Botnet (réseau de machines zombies) (voir : Zombification), a calculé que 5.700 ordinateurs étaient compromis en une journée. Symantec (Norton) a estimé qu’environ 2,9 % de ces utilisateurs compromis ont payé la rançon. Avec une rançon moyenne de 200 $, cela signifie que les cybercriminels pratiquant les Ransomwares encaissent, à partir d'un seul Botnet 33,600 $ par jour, soit 394.400 $ par mois, à partir d'un unique serveur de Commande et contrôle (C2) d’un BotNet. Ces estimations approximatives montrent combien les Ransomwares et Cryptowares peuvent être rentables pour les acteurs d’un Internet malveillants.

 

La première observation de ce type d'attaques semble être celle du Cryptoware CryptoLocker, par Dell SecureWorks, vers mi septembre 2013 (source).

Avant cette date, les Ransomwares, qui existent depuis des années, bloquaient l'accès à l'ordinateur, en bloquant l'écran avec un affichage de demande de rançon, sous divers prétextes (Police, Gendarmerie, etc. ... Nous avons trouvé des musiques, films, ... piratés... vous devez payer une amande...). Vous convaincre de payer avec des menaces de poursuites, d'arrestation, etc. ... relève de l'ingénierie sociale. Ces attaques sont réversibles et il est, dans tous les cas, possible, voire aisé, de décontaminer l'ordinateur (mais il n'existe aucune solution contre la manipulation des esprits faibles par un esprit fort).

Les Cryptowares ("cryptovirus d'extorsion") corrigent cette fragilité des Ransomwares en attaquant de manière agressive et irréversible.

Cryptowares : Ransomwares utilisant le chiffrement (la cryptographie) (« Cryptovirus d'extorsion ») :

Il n'y a aucune solution de réparation possible aux attaques pratiquées par les Ransomwares de type Cryptowares. Les Cryptowares utilisent le chiffrement (la cryptographie). Ces attaques chiffrent (cryptent) tous les fichiers utilisateur (à l'exception des fichiers Windows afin de permettre à la victime d'aller sur le Web pour payer une rançon) avec des algorithmes comme RSA 2048.

En l'état actuel des technologies, un chiffrement utilisant l'algorithme RSA 2048, est irréversible. Seule la clé de déchiffrement correspondante à la clé de chiffrement utilisée permet le déchiffrement, clé qu'il faut payer au cybercriminel (délais de 3 à 30 jours, selon le cybercriminel, après quoi la clé de déchiffrement est détruite et même le cybercriminel ne peut revenir en arrière).

Les antivirus ou antimalwares ne détectent pas ce type d'attaques (quelques variantes sont cependant détectées et bloquées par Malwarebytes Anti-Malware (MBAM) dans sa version Premium) !

Si vous êtes infecté par un cryptoware, et que tous vos fichiers sont devenus illisibles tandis qu'un message vous informe qu'il faut payer une rançon, vous ne disposez que de trois alternatives :

  1. Repartir des sauvegardes (encore faut-il en avoir fait), en comprenant bien que les points de restauration du système ne gèrent absolument pas les données utilisateurs (sauf à avoir paramétré le mécanisme automatique des " versions précédentes des fichiers ", et encore... il n'existe pas forcément de version précédente de chaque fichier).
  2. Payer le cybercriminel et faire le jeu de la cybercriminalité (et ne même pas être certain de recevoir la clé de déchiffrement).
  3. Refuser de payer et perdre définitivement tous ses fichiers et toutes ses données.

Exemples de Ransomwares utilisant la cryptographie (cryptowares) :

  • Crypto Locker (ou CryptoLocker)
  • CryptoLocker Copycat (toutes les imitations de CryptoLocker)
  • SynoLocker (version attaquant les NAS de la marque Synology sous DSM 4.3 (1)
  • PrisonLocker
  • PowerLocker
  • CTB Locker (Curve-Tor-Bitcoin Locker ou Critroni) : elliptic curve cryptography (cryptographie à courbe elliptique), plus rapide que RSA 2048 sur des petites unités comme les smartphones.
  • Locker
  • CryptorBit
  • TorrentLocker
  • CryptoWall (se protéger avec un outil gratuit de BitDefender)
  • CryptoDefense
  • Gameover Zeus
  • KeyBTC
  • Koler : un ransomware Android (prétend avoir crypté les fichiers mais, en réalité, ils ne le sont pas)
  • OphionLocker : elliptic curve cryptography (cryptographie à courbe elliptique), plus rapide que RSA 2048 sur des petites unités comme les smartphones.
  • TeslaCrypt
  • Alpha Crypt
  • Rector (décriffrement possible sans payer la rançon)
  • Xorast (décriffrement possible sans payer la rançon)
  • Hanar (décriffrement possible sans payer la rançon)
  • Rakhni (décriffrement possible sans payer la rançon)
  • Etc. ...

(1) Synology a identifié la faille.


Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre mesures" Contre mesures "

Prévention contre Cryptowall :

Contre l'ingénierie sociale qui arrive à vous convaincre d'ouvrir un fichier ou d'ouvrir une pièce jointe d'un e-mail ou installer une fausse mise à jour d'une technologie, etc. ..., il n'existe et n'existera jamais aucune contre-mesure.

Procédure préventive : Préparer son ordinateur dès le jour de son achat, avant même de se connecter à l'Internet. L'installation et l'activation d'un antivirus et d'un pare-feu sont une opération impérative avant la première connection (sans pare-feu, vous avez 4 minutes pour survivre).

Procédure préventive : Maintenir totalement à jour son ordinateur. La moindre faille de sécurité dont le correctif n'est pas appliqué sera exploitée. Le moindre retard à la mise à jour de l'antivirus et du système d'exploitation est une faute.

Spécifiquement contre les Cryptowares, il n'existe aucune mesure de décontamination après infection.

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "