Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Ransomware

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
04.04.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Ajout "L'argent que rapportent les Ransomwares"

Plus connu, dans le public, sous le nom de l'une de ses variantes la plus spectaculaire, "Virus Gendarmerie", cette forme d'attaque bloque totalement un ordinateur ou un serveur ou un site, qui est pris en otage. Le paiement d'une rançon au cybercriminel, le preneur d'otage, permet de débloquer la situation, mais, si l'on exclu la sous-famille des ransomwares appelée cryptowares, toutes ces attaques sont réversibles et, dans tous les cas, des solutions de décontamination existent.

Assiste.com : Ransomware

Dossier : Cryptoware - Ransomware

Dossier : Cryptoware - Ransomware

Ransomware (logiciels de demande de rançon)
Cryptowares (logiciels de demande de rançon)
Ingénierie sociale

Synonymes
Virus d'extortion
Cryptovirus d'extorsion
Rançongiciel
Virus Gendarmerie

Cryptowares
Crypto Locker (ou CryptoLocker)
CryptoLocker Copycat (imitations de CryptoLocker)
SynoLocker
PrisonLocker
PowerLocker
CTB Locker (Curve-Tor-Bitcoin Locker ou Critroni)
Locker
CryptorBit
TorrentLocker
CryptoWall
CryptoDefense
Gameover Zeus
KeyBTC
Koler : un ransomware Android
OphionLocker
TeslaCrypt
Alpha Crypt
Rector (déchiffrement possible sans rançon)
Xorast (déchiffrement possible sans rançon)
Hanar (déchiffrement possible sans rançon)
Rakhni (déchiffrement possible sans rançon)
Svpeng (1)

Origine des attaques
Exploitation d'une faille de sécurité
Flash Player pas à jour
Silverlight pas à jour
Acrobat Reader pas à jour
Java pas à jour
ActiveX pas désactivé
Drive-by download
Cheval de Troie
Faux codecs
Publicités trompeuses
Virus PEBCAK

Contre-mesures
Entretien périodique d'un PC
Mise à jour de tous les plugins
Bloquer tous les mécanismes publicitaires
Eviter les téléchargeurs et installeurs piégés
Malwarebytes Anti-Malware (MBAM) Premium
Cryptomonitor
Cryptoprevent Malware Prevention
Versions précédentes des fichiers

Assimilables aux Ransomwares
DDoS (Distributed Denial of Service)

RansomwareRansomwareRansomware

Un Ransomware ("virus d'extorsion") est un dispositif logiciel crapuleux de demande de rançon.

 

L'argent que rapportent les Ransomwares

En 2012, Symantec (Norton), en utilisant les données prélévées sur une machine cybercriminelle de C&C (Commande et contrôle (C2)) d’un Botnet (réseau de machines zombies) (voir : Zombification), a calculé que 5.700 ordinateurs étaient compromis en une journée. Symantec (Norton) a estimé qu’environ 2,9 % de ces utilisateurs compromis ont payé la rançon. Avec une rançon moyenne de 200 $, cela signifie que les cybercriminels pratiquant les Ransomwares encaissent, à partir d'un seul Botnet 33,600 $ par jour, soit 394.400 $ par mois, à partir d'un unique serveur de Commande et contrôle (C2) d’un BotNet. Ces estimations approximatives montrent combien les Ransomwares et Cryptowares peuvent être rentables pour les acteurs d’un Internet malveillants.

 

Un Ransomware est utilisé par un Cybercriminel ou une organisation criminelle issue du crime organisé (mafias, triades, mouvements terroristes). L'attaque consiste à bloquer un ordinateur et à demander une rançon pour le débloquer.

Les Ransomwares peuvent être de deux formes :

  • Les Ransomwares qui font peur : toutes les familles de virus dits " Gendarmerie " et assimilés qui font croire à la découverte d'activités illicites dans l'ordinateur bloqué et paiement d'une amende. Vous convaincre de payer avec des menaces de poursuites, d'arrestation, etc. ... relève de l'ingénierie sociale. Ces Ransomwares sont réversibles et l'ordinateur peut être décontaminé. Demandez de l'aide sur l'un des forums d'entraide et décontamination.
  • Les Ransomwares appelés Cryptowares qui cryptent la totalité des fichiers de données de l'utilisateur. Ces attaques, utilisant un chiffrement RSA 2048 (ou autres chiffrements de haut niveau), sont irréversibles. Il n'y a que trois solutions :

    1. Il faut repartir d'une sauvegarde des fichiers, si tant est qu'il y en ait une
    2. Il faut faire le jeu de la cybercriminalité et payer la rançon (sans être certain de recevoir la clé de déchiffrement)
    3. Il faut reformater et tout perdre

    Les fichiers de données utilisateurs chiffrés par les ransomwares de type Cryptowares :
    Cette liste peut varier d'un Cryptowares à un autre, mais l'esprit de ces attaques est toujours le même :

    .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

L'ordinateur du particulier est pénétré :

D'autres attaques avec demande de rançon consistent à faire « tomber le serveur d’un site », par exemple en utilisant un botnet et en submergeant le serveur de requêtes afin qu'il ne puisse plus en satisfaire aucune (attaques en DDoS (Distributed Denial of Service - Déni de service distribué)). Des sites marchands sont ainsi attaqués et ces attaques avec demandes de paiement pour être tranquille rappellent les pratiques de « protection des commerces » par les maffieux (Tu payes ta protection tous les mois ou on fait sauter ta boutique...).

Ransomware type " Gendarmerie "Ransomware type " Gendarmerie "Ransomware type " Gendarmerie "

Ces attaques visent tous les ordinateurs des pays démocratiques, sans distinction. Ces attaquent sont "personnalisées" par pays.

Le logiciel injecté dans l'ordinateur prend son contrôle total et le bloque. Il n'est même plus possible de démarrer en mode "sans echec".

L'attaque affiche une image dont il est impossible de sortir. Cette image fait apparaître un logo officiel d'un organisme gouvernemental ayant un pouvoir de police (Police nationale, Gendarmerie, Ministère de l'Intérieur, etc. ...).

Un texte explique que l'ordinateur a été bloqué car l'organisme s'est apperçu que l'utilisateur avait effectué des téléchargements illégaux (musiques, films, logiciels, livres, etc. ...) de ressources normalement protégées par des droits d'auteurs, des droits numériques, etc. ... même si l'utilisateur n'a jamais fait cela. Il s'agit de faire peur.

Le paiement d'une rançon, tournant généralement entre 100 et 250 €, voire 750 €, est demandé pour débloquer l'ordinateur.

Un organisme de paiement en ligne, actif dans les pays de l'Est le plus souvent, est imposé. Aucune alternative n'est offerte.

L'utilisation du réseau TOR est obligatoire afin d'assurer l'anonymat et l'intraçabilité du cybercriminel.

Ransomware type " Gendarmerie "Ransomware utilisant le chiffrement (la cryptographie)Ransomware type " Gendarmerie "

Cryptowares : Ransomwares utilisant le chiffrement (la cryptographie) (« Cryptovirus d'extorsion ») :

Il n'y a aucune solution de réparation possible aux attaques pratiquées par les Ransomwares de type Cryptowares. Les Cryptowares utilisent le chiffrement (la cryptographie). Ces attaques chiffrent (cryptent) tous les fichiers utilisateur (à l'exception des fichiers Windows afin de permettre à la victime d'aller sur le Web pour payer une rançon) avec des algorithmes comme RSA 2048.

En l'état actuel des technologies, un chiffrement utilisant l'algorithme RSA 2048, est irréversible. Seule la clé de déchiffrement correspondante à la clé de chiffrement utilisée permet le déchiffrement, clé qu'il faut payer au cybercriminel (délais de 3 à 30 jours, selon le cybercriminel, après quoi la clé de déchiffrement est détruite et même le cybercriminel ne peut revenir en arrière).

Les antivirus ou antimalwares ne détectent pas ce type d'attaques (quelques variantes sont cependant détectées et bloquées par Malwarebytes Anti-Malware (MBAM) dans sa version Premium) !

Si vous êtes infecté par un cryptoware, et que tous vos fichiers sont devenus illisibles tandis qu'un message vous informe qu'il faut payer une rançon, vous ne disposez que de trois alternatives :

  1. Repartir des sauvegardes (encore faut-il en avoir fait), en comprenant bien que les points de restauration du système ne gèrent absolument pas les données utilisateurs (sauf à avoir paramétré le mécanisme automatique des " versions précédentes des fichiers ", et encore... il n'existe pas forcément de version précédente de chaque fichier).
  2. Payer le cybercriminel et faire le jeu de la cybercriminalité (et ne même pas être certain de recevoir la clé de déchiffrement).
  3. Refuser de payer et perdre définitivement tous ses fichiers et toutes ses données.

Exemples de Ransomwares utilisant la cryptographie (cryptowares) :

  • Crypto Locker (ou CryptoLocker)
  • CryptoLocker Copycat (toutes les imitations de CryptoLocker)
  • SynoLocker (version attaquant les NAS de la marque Synology sous DSM 4.3 (1)
  • PrisonLocker
  • PowerLocker
  • CTB Locker (Curve-Tor-Bitcoin Locker ou Critroni) : elliptic curve cryptography (cryptographie à courbe elliptique), plus rapide que RSA 2048 sur des petites unités comme les smartphones.
  • Locker
  • CryptorBit
  • TorrentLocker
  • CryptoWall (se protéger avec un outil gratuit de BitDefender)
  • CryptoDefense
  • Gameover Zeus
  • KeyBTC
  • Koler : un ransomware Android (prétend avoir crypté les fichiers mais, en réalité, ils ne le sont pas)
  • OphionLocker : elliptic curve cryptography (cryptographie à courbe elliptique), plus rapide que RSA 2048 sur des petites unités comme les smartphones.
  • TeslaCrypt
  • Alpha Crypt
  • Rector (décriffrement possible sans payer la rançon)
  • Xorast (décriffrement possible sans payer la rançon)
  • Hanar (décriffrement possible sans payer la rançon)
  • Rakhni (décriffrement possible sans payer la rançon)
  • Etc. ...

(1) Synology a identifié la faille.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre-mesures" Contre mesures "

Contre l'ingénierie sociale qui arrive à vous convaincre d'ouvrir un fichier ou d'ouvrir une pièce jointe d'un e-mail ou installer une fausse mise à jour d'une technologie, etc. ..., il n'existe et n'existera jamais aucune contre-mesure.

Procédure préventive : Préparer son ordinateur dès le jour de son achat, avant même de se connecter à l'Internet. L'installation et l'activation d'un antivirus et d'un pare-feu sont une opération impérative avant la première connection (sans pare-feu, vous avez 4 minutes pour survivre).

Procédure préventive : Maintenir totalement à jour son ordinateur. La moindre faille de sécurité dont le correctif n'est pas appliqué sera exploitée. Le moindre retard à la mise à jour de l'antivirus et du système d'exploitation est une faute.

Spécifiquement contre les ransomware, outre le fait de ne jamais cliquer avant de réfléchir, il faut utiliser des outils comme Malwarebytes Anti-Malware (en version Premium, pas en version gratuite).

Pour le particulier, victime de ce type d'attaque, il faut se tourner vers les forums d'entraide et d'assistance à la décontamination.

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "

Rançongiciels
Virus "Gendarmerie".