Le ransomware, deuxième menace la plus répandue en France selon une étude Bitdefender

publié par Laboratoires Antivirus Bitdefender, le 18 septembre 2015

L’étude Bitdefender révèle les cinq malwares les plus actifs sur Windows entre janvier et juin 2015, auprès des utilisateurs français et belges.

Sur les six premiers mois de l’année, Bitdefender a identifié et bloqué JS:Trojan.Ransom.A, l’une des séries de malwares les plus actifs, et qui se classe en 2ème position des menaces les plus répandues auprès des utilisateurs de PC français et belges.

Ce type de menaces, les ransomwares, avait déjà beaucoup fait parler en 2014, lorsque Icepol avait fait sa première réelle victime (un homme s’était suicidé après que son ordinateur eut été bloqué).

Des variantes plus récentes sont apparues sur Android, avec notamment Koler, un ransomware qui affichait un message géolocalisé des forces de l’ordre en prétextant la présence de contenu pédopornographique sur l’appareil de l’utilisateur.

Les ransomwares, 2ème menace la plus répandue en France et en Belgique en 2015

Au niveau mondial, c’est Sality, un vieux code persistant de 12 ans, considéré comme l’un des codes malveillants les plus complexes, qui se classe en 2ème position des malwares les plus répandus ces derniers mois sur PC. « Malgré sa résistance aux mécanismes antimalwares, Sality n’est pas infaillible, » explique Bogdan Botezatu, Analyste Senior en e-menaces chez Bitdefender. « Il peut devenir vulnérable puisque ses mises à jour ne sont pas vérifiées et peuvent donc être détournées. En effet, la mise à jour peut être remplacée par un outil de désinfection. »

Top 5 des malwares sur PC en France et en Belgique

Étude basée sur les informations techniques issues des chercheurs en malwares, Dragos Gavrilut et Alex Baetu.

  1. Trojan.VBS.UDE
    Ce trojan downloader prend la forme d'un script VBS (Microsoft Visual Basic Scripting Edition). Son rôle est de télécharger un autre script servant de relais depuis un service d’hébergement en ligne ou directement depuis un site Web afin de donner la main en finalité à la réelle charge malveillante (un fichier exécutable). Le code contenant la charge malveillante dans le VBS est non seulement obfusqué, mais aussi dissimulé en insertion entre diverses lignes de commentaires.
     
  2. JS:Trojan.Ransom.A
    Trojan.Ransom.A est un JavaScript qui verrouille l’écran de l’utilisateur, et prétend que les autorités ont pris le contrôle de l'ordinateur en raison d’activités illégales. Un écran de blocage s’affiche alors, ce qui empêche l’utilisateur d’accéder à ses fichiers ou à la plupart des fonctionnalités du navigateur. Ce ransomware très dangereux est capable d’infecter n’importe quel appareil Windows, Mac OS ou Linux.
     
  3. Trojan.VBS.UCZ
    Ce cheval de Troie se cache sous les lignes de texte en commentaires et s’exécute le plus souvent au démarrage.
     
  4. Win32.Worm.Downadup.Gen (Conficker)       
    Le ver Downadup, aussi connu sous le nom de Conficker, se répand via des supports amovibles et une vulnérabilité Windows XP (désormais patchée). Il est capable de télécharger  et d’exécuter une variété d’autres fichiers et de désactiver le logiciel de sécurité, tout en empêchant l’utilisateur d’accéder aux sites de sécurité, de lancer le PC en mode sans échec ou autres.
     
  5. JS :Trojan.JS.Likejack.A
    Cet outil, écrit en JavaScript, permet de modifier les « Like » de Facebook. Le likejacking (détournement de Like) est une variante du clickjacking (détournement de clic) où un code malveillant est associé au bouton « Like » de Facebook.

Top 5 des malwares sur PC dans le monde

Étude basée sur les informations techniques issues des chercheurs en malwares, Dragos Gavrilut et Alex Baetu.

  1. Trojan.LNK.Gen
    Le fameux « virus au raccourci » peut être utilisé pour répandre des fichiers malveillants, dont le célèbre malware Stuxnet.
     
  2. Win32.Sality.3
    Sality contamine les fichiers exécutables. Sa capacité à désactiver les paramètres de sécurité et bloquer l’antivirus explique sa longévité (il existe depuis 2003). Il peut s’injecter lui-même dans tous les processus en cours et infecter des lecteurs amovibles en copiant son propre code ainsi qu’un fichier autorun. Il contacte un serveur C&C et télécharge des charges utiles malveillantes et des fichiers exécutables supplémentaires, fournissant ainsi une porte d’accès aux intrus.
     
  3. Trojan.AutorunINF.Gen
    Ce fichier autorun est traditionnellement utilisé pour la propagation de vers, tels que Conficker. Il s’exécute automatiquement quand le système est connecté à un support de stockage externe de type clef USB ou DVD.           
    « Cette menace montre qu’il existe toujours des utilisateurs de Windows XP, malgré la fin du support de ce système en avril 2014, » déclare Bogdan Botezatu. « En effet, ils représentent encore 11,7% des utilisateurs dans le monde, ce qui devrait soulever des questions sur les vulnérabilités toujours susceptibles d’être exploitées. »
     
  4. Win32.Worm.Downadup.Gen (Conficker)
     
  5. Gen:Variant.Buzy.298 (Ramnit)          
    Ce ver, qui fait partie de la famille de malwares Win32/Ramnit, se propage via des supports amovibles, des kits d’exploits ou encore couplé dans des applications indésirables (de type adware). Il est capable de télécharger et d’installer un autre malware.

Des réflexes pour se protéger

  • Ayez toujours votre système et vos logiciels à jour.
  • Téléchargez vos logiciels et mises à jour sur les sites officiels des éditeurs.
  • Utilisez un antivirus et maintenez-le également à jour. Bitdefender dispose d’une technologie exclusive anti-ransomware qui protège contre le chiffrement.
  • N’ouvrez pas les pièces jointes provenant d’e-mails d’inconnus.

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.