Qu'est-ce qu'un ransomware et comment s'en protéger

Le ransomware est une forme de malware qui crypte les médias, les documents et autres fichiers sur le PC cible et l'accès à ces fichiers n'est accordé qu'une fois que les demandes de rançon de l'attaquant sont satisfaites.

Actuellement, il existe deux types de ransomware: l'un qui verrouille certains fichiers sur un ordinateur et l'autre qui verrouille l'ensemble du système. Ce dernier se trouve majoritairement sur les smartphones.

Les ransomwares existent depuis plus d'une décennie maintenant. Les premiers cas d'une telle attaque ont été trouvés en Russie en 2005 avec Trojan GPcoder.

Début de l'histoire: la connexion russe

Le premier virus ransomware connu à créer des problèmes à grande échelle a été développé par les criminels organisés russes et s'est imposé en 2005 et 2006.

Ces logiciels malveillants ont infecté des PC en Russie, en Biélorussie, en Ukraine et au Kazakhstan. L'une des souches de logiciels malveillants s'appelait Archievus et un autre appelé Troj_Cryzip. UNE.

Alors que le premier cryptait le dossier « Mes documents », le second identifiait et déplaçait certains types de fichiers sur un PC vers un fichier Zip protégé par mot de passe dossier, qui ne serait déverrouillé que lorsque la victime aurait transféré quelques centaines de dollars à l'attaquant via E-Gold - monnaie électronique avant Bitcoin.

E-Gold a été arrêté en 2009 sous la direction du gouvernement américain en raison d'un grand nombre de criminels l'utilisant pour blanchir de l'argent. Par la suite, Bitcoin et les cartes de débit prépayées sont utilisées comme méthode de collecte de rançons.

Vers la fin de la première décennie, de nombreuses attaques de ransomwares ont également surgi en usurpant l'identité d'organismes chargés de l'application des lois. Ces attaquants harcèleraient les victimes avec de fausses allégations telles que la violation du droit d'auteur et obtiendraient des « amendes » pour ces accusations inexistantes.

Le plus connu de ces imitateurs d'application de la loi était Reveton, un ransomware qui fonctionnerait localement. Selon le pays dans lequel la victime est basée, Reveton se ferait passer pour la police nationale.

Les développeurs ont fait des efforts de localisation pour presque tous les pays européens, les États-Unis, l'Australie, le Canada et la Nouvelle-Zélande. Le ransomware n'utilisait pas de cryptage pour verrouiller les fichiers de l'utilisateur, ce qui facilitait la suppression avec un antivirus ou via le mode sans échec.

En 2012, un autre ransomware a ciblé Windows Master Boot Record (MBR) et l'a remplacé par un code malveillant. Lorsqu'un système infecté était démarré, l'utilisateur recevait des instructions pour payer un montant élevé via QIWI - un système de paiement appartenant à la Russie - afin d'accéder à son appareil.

Crypto-ransomware des temps modernes

L'une des méthodes modernes de ransomware a été découverte pour la première fois en 2012-13. CryptoLocker a été le premier programme malveillant à grand succès à s'être répandu au nord de 27 millions de dollars de rançon.

CryptoLocker est chiffré à l'aide d'une clé AES 256 bits et d'une clé RSA 2048 bits, ce qui rend le chiffrement presque incassable même si le malware est supprimé, ce qui en fait l'un des moyens les plus efficaces pour les attaquants.

Les victimes de ces attaques ont été invitées à payer 400 $ ou plus pour recevoir la clé de déchiffrement et ont été menacées de suppression de la clé si elles ne payaient pas dans les 72 heures.

En 2014, CryptoLocker a été démantelé par un consortium d'agences gouvernementales, d'entreprises de sécurité et d'institutions universitaires en Opération Tovar. Plus tard, ils ont également a lancé un service pour les personnes affectées par CryptoLocker qui les a aidés à déchiffrer leurs appareils gratuitement.

Bien que la menace de CryptoLocker n'ait pas duré longtemps, elle a sûrement aidé les attaquants à explorer le monde des ransomwares et déterminer à quel point cela peut être lucratif - ce qui entraîne la mise sur le marché d'un certain nombre de souches de ransomware après.

CryptoLocker a été suivi de TorrentLocker, un programme de rançongiciel qui a fait surface sous forme de pièce jointe à un e-mail - généralement un fichier Word avec des macros malveillantes - qui a verrouillé certains types de fichiers sur l'ordinateur avec un cryptage AES.

Le TorrentLocker est toujours actif et a beaucoup évolué ces dernières années. Les versions les plus récentes renomment tous les fichiers infectés sur un ordinateur, ce qui empêche l'utilisateur d'identifier les fichiers qui ont été cryptés et de restaurer les fichiers via une sauvegarde.

Au cours de la dernière décennie, les attaques de crypto-ransomwares ont considérablement augmenté alors que les faux antivirus et autres applications trompeuses ont diminué en nombre. Rien qu'en 2016, 638 millions de ransomwares des cas ont été signalés.

Comment le combattre ?

Il existe un bon nombre de sites Web et d'entreprises de sécurité qui tentent d'informer les gens sur les menaces de malware et leur fournir également des outils pour l'empêcher ainsi que décrypter les informations qui ont été verrouillées par un attaquant.

Un service antivirus populaire tel qu'Avast a mis au point leurs outils de décryptage pour Windows et Pour Android pour aider les gens à lutter contre la menace croissante des ransomwares. Ces outils sont gratuits et couvrent une grande variété de ransomwares, bien que certains des nouveaux ne soient peut-être pas couverts, mais cela peut quand même vous donner un bon début.

Plus de rançon est un site Web qui fournit des informations sur les derniers développements dans l'écosphère des ransomwares et oriente les utilisateurs vers des outils pouvant être utilisés pour lutter contre ces menaces. Le site Web est un effort conjoint de la police néerlandaise, d'Europol, de Kaspersky Lab et d'Intel Security.

Si vous avez trouvé un outil qui peut vous guider dans le décryptage du ransomware affectant actuellement votre PC, alors tout ce que vous avez à faire est de l'identifier. Identifiant Ransomware est un site Web qui vous aide à faire exactement cela, tout ce que vous avez à faire est de télécharger une copie de la demande de rançon.

Si vous recherchez un outil qui offre une protection à votre PC Windows en temps réel, alors CyberReason sans rançon est la réponse à vos besoins.

Les ransomwares ont été une menace à l'ère des appareils connectés à Internet et à mesure que l'IoT devient monnaie courante, cela peut s'avérer être un problème encore plus important.

Actuellement, le ransomware n'affecte que votre appareil ou vos fichiers et révoque l'accès de l'utilisateur jusqu'à ce que la rançon soit payée, mais avec le popularité émergente des appareils Smart Home, perdre l'accès à votre appareil ne serait que le début de vos soucis.