Qu'est-ce que Snatch Ransomware et comment le supprimer

Il semble que les développeurs de logiciels criminels ne dorment jamais alors que les défenses augmentent. Ils sont toujours à la recherche de différentes manières de perfectionner leurs armes d'attaque. L'une des techniques les plus récentes est une souche de ransomware qui peut forcer un appareil Windows à redémarrer en mode sans échec juste avant le début du chiffrement, dans le but de contourner la protection des terminaux.

Cette variété particulière est connue sous le nom de Snatch en raison de ses auteurs, qui se désignent eux-mêmes sous le nom de Snatch Team. C'était découvert par les chercheurs des Sophos Labs, qui a décrit leur découverte ainsi que des informations sur la manière dont ces gangs s'introduisent dans des entreprises et d'autres entités figurant sur leur liste de résultats.

Nous allons expliquer ce qu'est le ransomware Snatch, comment il fonctionne et comment vous pouvez le supprimer de vos appareils.

Aussi sur Guiding Tech

Qu'est-ce que Snatch Ransomware

Snatch est une nouvelle variante de ransomware dont l'exécutable force les appareils Windows à redémarrer en mode sans échec même avant que le processus de chiffrement ne commence dans le but de contourner la protection des points de terminaison qui souvent ne s'exécute pas dans ce mode.

Découvert par les chercheurs des SophosLabs et l'équipe de Sophos Managed Threat Response, le snatch ransomware fait partie des multiples composants de la constellation de logiciels malveillants utilisé dans une série continue d'attaques soigneusement orchestrées comportant une vaste collecte de données.

Les nouvelle souche du ransomware utilise une méthode d'infection unique qui applique un cryptage AES sophistiqué afin que les utilisateurs dont les machines sont infectées ne puissent pas accéder à leurs fichiers.

Le ransomware Snatch a été visiblement actif pour la première fois en avril 2019, mais il est sorti fin 2018. Cependant, le pic dans les fichiers cryptés et les notes de rançon a conduit à sa découverte et à son suivi par l'équipe de chercheurs de Sophos.

Sa forme de crypto-virus attaque des cibles de haut niveau, mais cette nouvelle souche, créée en utilisant Google Go programme, comprend une collection d'outils, y compris un vol de données et une fonction de ransomware. De plus, il a un Frappe au cobalt reverse-shell et d'autres outils utilisés par les testeurs d'intrusion et les administrateurs système.

Noter: La variante découverte par Sophos ne peut s'exécuter sur Windows que dans les éditions 32 bits et 64 bits de la version 7 à 10.

Comment Snatch Ransomware fonctionne

En tant que virus de verrouillage de fichiers, le ransomware Snatch n'a aucun lien avec d'autres souches. Pourtant, ses développeurs ont publié neuf variantes de la menace, qui ajoutent différentes extensions une fois les données chiffrées avec le chiffrement AES.

L'astuce consiste à redémarrer les machines en mode sans échec, puis le ransomware restreint l'accès à vos données en cryptant vos fichiers. Après cela, les pirates tentent de vous extorquer de l'argent en sollicitant des rançons sous forme de Bitcoin en échange du déverrouillage de vos fichiers et de la restitution de l'accès aux données.

Il y a une raison pour laquelle leur astuce fonctionne. Certains logiciels antivirus ne démarrent pas en mode sans échec, et les développeurs ont découvert qu'ils pouvaient facilement modifier une clé de registre Windows et simplement démarrer votre machine en mode sans échec. Ainsi, le ransomware s'exécute sans être détecté par votre logiciel de sécurité.

La première fois qu'il est installé sur votre appareil, il passe par SuperBackupMan, un service Windows, et s'installe juste avant que votre ordinateur ne commence à redémarrer afin que vous ne puissiez pas l'arrêter à temps.

Une fois installés, les attaquants utilisent un accès administrateur pour exécuter BCDEDIT, un outil en ligne de commande Windows, afin de forcer votre ordinateur à redémarrer immédiatement en mode sans échec.

Il crée ensuite un exécutable nommé aléatoirement dans votre dossier %AppData% ou %LocalAppData%, qui sera lancé et commencera à analyser les lettres de lecteur de votre ordinateur pour les fichiers à chiffrer.

Aussi sur Guiding Tech

Fichiers ciblés par Snatch Ransomware

Il crypte des extensions de fichiers spécifiques, notamment .doc, .docx, .pdf, .xls et bien d'autres, qu'il infecte et modifie leurs extensions en Snatch afin que vous ne puissiez plus les rouvrir.

Le ransomware laisse une note de fichier texte Readme_Restore_Files.txt, exigeant quelque chose entre un et cinq Bitcoin en échange d'une clé de déchiffrement, avec des informations sur la façon de communiquer avec les pirates pour obtenir vos fichiers de données arrière.

Une fois que le ransomware a complètement analysé votre ordinateur, il utilise vssadmin.exe, une commande Windows pour supprimer tous les clichés instantanés de volume afin que vous ne puissiez pas les récupérer et les utiliser pour restaurer des fichiers de données cryptés. La dernière étape consiste à chiffrer tous les fichiers de données sur votre disque dur.

Actuellement, les fichiers infectés ne sont pas décryptables en raison de la nature sophistiquée du cryptage AES utilisé. Cependant, vous avez toujours une bouée de sauvetage si votre ordinateur est infecté en restaurant vos fichiers à partir de la sauvegarde la plus récente.

Snatch ransomware a ciblé les utilisateurs réguliers via des e-mails de spam. Mais aujourd'hui, les principales cibles sont les entreprises. En payant de tels criminels, non seulement vous perdez de l'argent et n'avez aucune garantie qu'ils vous enverront la clé de déchiffrement, mais cela les encourage également à poursuivre leur cybercriminalité.

Si vous ne disposez pas d'une sauvegarde mise à jour, vous ne pouvez pas faire grand-chose d'autre qu'attendre que les experts en sécurité proposent un décrypteur de ransomware Snatch. Cela peut prendre beaucoup de temps, mais il existe d'autres moyens de vous protéger contre de telles attaques.

Comment supprimer Snatch Ransomware de votre ordinateur

L'un des meilleurs moyens de supprimer le ransomware Snatch et d'autres logiciels malveillants consiste à installer un bon logiciel de sécurité antivirus tel que Malwarebytes ou SpyHunter qui peut analyser, détecter et éliminer la menace. Tous les moteurs antivirus ne peuvent pas l'attraper car il s'agit d'un tout nouveau malware, il est donc préférable de l'analyser à l'aide de plusieurs programmes.

Vous pouvez vous protéger et protéger vos appareils contre les attaques de ransomware en prenant des mesures simples telles que télécharger des logiciels à partir de sources fiables et éviter d'ouvrir des pièces jointes à des e-mails non fiables sources.

Voici d'autres moyens de vous protéger, vous et votre organisation, contre Snatch et d'autres types de ransomware :

• Maintenez un système d'exploitation à jour et continuez à sauvegarder vos données.
• Effectuez un audit régulier des mots de passe.
• Déployez un logiciel de sécurité complet et multicouche pour protéger tous les points d'entrée contre une attaque de ransomware.
• Sécurisation des outils d'accès à distance et d'autres programmes vulnérables, car les attaquants Snatch embauchent d'autres criminels expérimentés dans l'utilisation de shells Web ou capables de pirater des serveurs SQL via des attaques par injection.
• Protégez votre interface Bureau à distance en les plaçant derrière un VPN sur votre réseau afin que les gens n'y accèdent pas sans informations d'identification VPN.
• Exécutez des contrôles réguliers et approfondis sur tous les appareils de votre maison ou de votre organisation pour vous assurer qu'ils sont protégés et surveillés, car Snatch tire parti de ces points d'accès et de ces points d'accès pour entrer.
• Configurez et utilisez l'authentification multifacteur pour tous les administrateurs de votre organisation afin que les attaquants ne puissent pas forcer brutalement vos informations d'identification.
• Effectuez une recherche complète des menaces sur votre réseau pour identifier une telle activité avant l'infection.

Aussi sur Guiding Tech

Protégez votre système

Snatch ransomware peut sembler presque mortel dans la façon dont il fonctionne pour paralyser vos fichiers et appareils. Avant de penser à payer cette rançon, essayez les étapes ci-dessus pour supprimer la menace et prenez toujours des mesures préventives pour vous assurer que cela et de telles menaces n'apparaissent pas sur votre ordinateur ou votre réseau.

Ensuite: Si vous pensez que votre téléphone est infecté par un ransomware, consultez notre prochain article pour savoir comment le détecter et le supprimer.