A propos des menaces de type Ransomware

[Lako]

Vous avez peut-être déjà entendu parler, ou avez été confronté, à un virus qui bloque votre ordinateur et exige de l'argent ? Il s'agit tout simplement d'un technique d'extorsion de fond, oui rien que ça. A l'entendre on se croirait dans un film mais pourtant ces menaces existent bien pour les utilisateurs.
Cette catégorie de virus porte un nom les "ransomwares" appelés aussi "rançongiciels".

Attention aux fausses rumeurs, personne n'est à l'abri (j'ai un Mac je ne risque rien => c'est entièrement faux). Aucun système d'exploitation n'est plus fiable qu'un autre, Windows, Mac, Linux (et ses dérivés) sont tous autant vulnérables.
Voici quelques exemples d'écrans.











Il existe deux sous catégories de "ransomware" :

• Les ransomwares basiques qui bloquent votre ordinateur mais ne causent aucun dégât réel sur la machine (ne représentent que peu de danger )
• Les ransomwares crypteurs de données, appelés encodeurs, qui cryptent la totalité de vos données personnelles sur votre ordinateur, vous empêchant de les récupérer

Il ne faut surtout pas payer la rançon demandé par les auteurs du virus. Dans tous les cas il est relativement facile de supprimer le virus:

• En passant par un live CD d'un antivirus (aVIRA,cOMODO,bITFENDER) ou la clé USB d'HitmanPro Kickstart,
• Via le mode sans échec avec prise en charge de réseau
• Via l'invite de commande en mode sans échec

Intéressons nous aux ransomwares encodeurs, les plus connu sont CTB-Locker, Cryptolocker, Locky ou CryptoWall, qui vous l'aurez compris on été créés dans le but d'escroquer les gens. Ce type de virus se propage généralement par des pièces jointes d'emails.

Une fois le virus exécuté par mégarde, il commence par s'implanter dans votre système d'exploitation puis redémarre votre ordinateur brutalement, ce n'est qu'au prochain démarrage que tout se joue. Le virus commence le massacre et crypte toutes les données présentes dans l'ordinateur, photos, documents, vidéos, musiques, jeux-vidéos. A partir de ce moment le virus à pris le contrôle sur votre ordinateur, et vous exigera la rançon à chaque allumage de l'ordinateur

Des moyens de protection existent. Le premier à régir dans votre ordinateur c'est votre antivirus, même si vous exécutez le virus par mégarde, son analyse comportementale peut le supprimer à temps. Veillez donc à avoir un antivirus maintenu à jour, n'hésitez pas à vérifier son bon fonctionnement, via un simple test EICAR .

Note: Les antivirus BitDefender, intègrent un module dédié à la lute contre les ransomware encodeurs en plus de l'analyse comportementale. Ce module place une protection au boot du disque dur. En quelque sorte BitDefender est présent au démarrage de façon à empêcher le virus de toucher à vos données personnelles !

Que faire si vos données sont crypté par un virus ? Voici les bons réflexes à adopter :

• Demander de l'aide dans la partie désinfection du forum, nos expert sont la pour vous aider !
• Utiliser nos astuces pour tenter de récuperer des fichiers
• Demander de l'aide au support antivirus Dr-Web, pour décrypter vos données.
• Déposer plainte à la Police/ Gendarmerie

Malheureusement il n'est pas toujours possible de décrypter vos données, certains encodeurs sont plus puissants que d'autres .

Note : pour les utilisateurs avancés, si vous avez réussi à supprimer le ransomware sur votre machine mais que l'explorateur de fichier windows est corrompu ou manquant faites: Ctrl+Alt+Suppr, puis "Gestionnaire de tâches", puis: "fichier", puis "executer une nouvelle tâche, puis écrivez: "explorer.exe", puis cochez la case: "créer cette tâche avec les privilèges administrateur" et validez par: "OK".

Si cela ne fonctionne toujours pas, une astuce consiste à passer par un live CD d'un antivirus afin de renommer la dll système: "twexx32.dll" en "explorer.exe".

[ironman]

WannaCry : plutôt 14 millions de machines affectés ?


La popularité de WannaCry a suscité de nombreuses réactions de la part des entreprises de cybersécurité, chacune y allant de son analyse ou de son commentaire. Mais celle que l’on attendait en particulier était celle de la société Kryptos Logic.

En effet, cette entreprise de sécurité compte parmi ses rangs le chercheur connu sous le pseudonyme de MalwareTech. Ce dernier a eu son quart d’heure de célébrité après avoir découvert la mention d’un nom de domaine au sein du code source de Wannacry. Le nom de domaine en question étant vacant, il s’est donc empressé de l’enregistrer à son nom et a découvert au passage que celui-ci était utilisé comme killswitch par les concepteurs du malware.
Concrètement, lors d’une nouvelle infection par WannaCry, la charge utile du virus procède à plusieurs étapes : si une connexion internet est détectée, le logiciel malveillant tente de contacter le nom de domaine en question. Si celui-ci est inactif, Wannacry poursuit son infection et chiffre les fichiers de la machine, avant de tenter de se propager vers d’autres machines. Mais si le nom de domaine est actif et lui répond, alors WannaCry se met en veille et ne chiffre rien. Il retentera par la suite de se connecter au nom de domaine toutes les 24 heures, ou à chaque redémarrage de la machine afin de vérifier l’état du nom de domaine en question.

La saisie fort opportune de ce nom de domaine par les employés de Kryptos Logic a permis de freiner la propagation du logiciel malveillant pendant quelques jours, le temps que les cybercriminels parviennent à développer une nouvelle version du logiciel utilisant un nouveau système pour le nom de domaine. Outre ce tour de force, prendre la main sur le nom de domaine offre également à Kryptos Logic un point de vue tout à fait inédit sur l’activité du ransomware et le nombre d’infections.
En effet, chaque machine infectée contactera nécessairement le nom de domaine, ce qui permet à Kryptos Logic d’avoir une estimation relativement précise de l’ampleur des dégâts. Dans un long post de blog publié sur le site de la société, les ingénieurs de Kryptos Logic reviennent en détail sur les chiffres du malware ainsi que sur les découvertes récentes liées à la campagne de malware. Et corrigent au passage certaines approximations.
La Chine détrône la Russie

Ainsi, on avait dans un premier temps cru que la Russie avait été le premier pays touché par l’épidémie de ranswomare (ou ransomworm, au vu du mode de propagation de ce malware). Si la Russie fait bien partie du trio de tête des pays les plus sévèrement touchés par la diffusion du logiciel malveillant, c’est en réalité la Chine qui semble avoir le plus souffert de l’attaque.

La question des chiffres exacts de l’infection mérite également d’être discutée plus en avant. « Le chiffre largement partagé de 200 000 systèmes affectés par l’attaque nous paraît plus ou moins correct, mais reste une fourchette basse » selon Kryptos Logic. En effet selon eux, le nombre réel de machines affectées par la campagne tournerait plutôt aux alentours de 14 ou 16 millions de machines, mais le raisonnement utilisé pour parvenir à ce chiffre mérite quelques explications.
Comme l’explique la société, le malware infecte tout d’abord la machine, en exploitant notamment la vulnérabilité DOUBLEPULSAR publiée par le groupe des Shadow Brokers. Une fois la machine infectée, le malware va ensuite vérifier le nom de domaine « killswitch » afin de décider de la suite des opérations. Si le nom de domaine est actif, le malware ne chiffre pas les fichiers. Mais il ne disparaît pas pour autant de la machine : il continue de contacter le nom de domaine à intervalles réguliers, attendant le feu vert pour lancer activer le code malveillant et s’attaquer aux fichiers de la cible et dans certains cas, continue de scanner le réseau à la recherche d'autres machines potentiellement vulnérables.
« Nous estimons que plusieurs centaines de milliers de machines ont été directement affectées par le ransomware avant l’activation du kill switch. Suite à l’activation de celui-ci, nous estimons qu’environ 2 à 3 millions de systèmes ont été également affectés, sans que leur fonctionnement n’ait été altéré par le malware. » Des porteurs sains en quelque sorte, qui sont techniquement infectés, mais qui ont échappé à la perte des données grâce à l’initiative salutaire de MalwareTech et de Kryptos Logic.
L’analyse de la société aborde également d’autres aspects de l’attaque plus en détail : le mécanisme de propagation inefficace sur Windows XP notamment, ou encore les multiples attaques DDoS ayant visé le domaine du killswitch afin de faire reprendre l’infection. Kryptos Logic offre un éclairage inédit sur l’attaque et prend le temps d’expliquer en détail son raisonnement et ses estimations, ce qui offre une bonne vision d’ensemble de la campagne.