4 min de lecture

Comment fonctionne un ransomware ? Le guide ultime pour comprendre les Ransomware – Partie II

Bogdan BOTEZATU

Mai 13, 2019

Ad Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 90 jours
Comment fonctionne un ransomware ? Le guide ultime pour comprendre les Ransomware – Partie II

 
 
Maintenant que vous savez ce qu’est un ransomware, voyons comment il se propage et infecte les machines.
 

Comment entre-t-il dans les systèmes ?

 
Les techniques de pénétration courantes comprennent :
_ Les courriels indésirables (spam) et l’ingénierie sociale (manipulation à des fins d’escroquerie)
_ Le téléchargement à la dérobée (drive-by-download) et les publicités malveillantes (malvertising)
_ Les outils d’installation de logiciels malveillants (malware) et les réseaux robots (botnets)
 
Lorsque les ransomware sont apparus pour la première fois il y a quelques années, les ordinateurs étaient généralement infectés lorsque les utilisateurs ouvraient des pièces jointes contenant des programmes malveillants ou étaient attirés vers un site compromis par un message trompeur ou une fenêtre contextuelle (pop up). De nouvelles variantes de ransomware se sont propagées via des clés USB amovibles ou Yahoo Messenger, la charge utile (payload) étant déguisée en image.
 
clé usb
 
 
CTB Locker, le ransomware qui a fait la une et de nombreuses victimes, se propage par des campagnes de spam agressives. L’e-mail se présente sous la forme d’un message fax contenant une archive .zip en pièce jointe. Si vous lancez le fichier exécutable à l’intérieur du zip, les données du système sont chiffrées et la victime est invitée à payer une rançon pour recevoir la clé de déchiffrement. Plus d’informations sur CTB Locker.
 
Mais ses variantes peuvent être reprogrammées pour se propager sans action humaine. Nous avons constaté un nombre croissant d’incidents impliquant ce que l’on appelle le “drive-by” ransomware. Les attaques par téléchargement drive-by sont lancées à partir de sites web compromis ou par le biais d’annonces malveillantes et exploitent généralement les vulnérabilités des extensions (plug-ins) de navigateur tels que Flash Player, Java, Adobe Reader ou Silverlight. Les outils utilisés pour de telles attaques disposent de fonctionnalités permettant d’élever les privilèges. Les exploitations d’escalade de privilèges permettent aux pirates d’exécuter des programmes malveillants (malware) avec des privilèges administrateur système au lieu d’utiliser le compte d’utilisateur local de la victime (compte qui peut être restreint).
 

Mode opératoire

 
Chaque variante de ransomware peut être conçue pour fonctionner différemment. Cependant, les traits communs incluent des mécanismes de camouflage (ou obfuscation) et de lancement cachés assez complexes destinés à éviter la détection antivirus précoce. Cela signifie que les malware veulent rester cachés et utilisent donc des techniques pour contrecarrer la détection et l’analyse, notamment les noms de fichiers obscurs, la modification des attributs de fichiers ou le fonctionnement sous couvert de programmes et services légitimes. Les couches de défense supplémentaires des malware rendent les données illisibles, ce qui rend le processus de rétro-ingénierie très difficile.
 
camouflage
 
Il faut ajouter que les protocoles de communication des ransomware sont passé du texte brut (HTTP) à Tor et au HTTPS, rendant les appels chiffrés aux serveurs C & C presque impossibles à suivre via la surveillance du trafic réseau. Le chiffrement de fichiers a également été réorganisé pour utiliser des crypto-bibliothèques qui effectuent une cryptographie forte et asymétrique plutôt que des clés courtes ou codées en dur. Des échantillons précédents, tels que Cryptolocker et Cryptowall, contactaient d’abord le serveur et effectuaient ensuite un chiffrement, par exemple.
 
Pour avoir une meilleure idée du fonctionnement des ransomware, examinons Cryptolocker. Cryptolocker est installé par une variante de Zbot (cheval de Troie utilisé pour exécuter des tâches malveillantes). Après exécution, il s’ajoute au démarrage sous un nom aléatoire et tente de communiquer avec un serveur de commande et de contrôle. En cas de succès, les serveurs envoient une clé publique et une adresse Bitcoin correspondante. Utilisant un chiffrement asymétrique (une clé publique pour chiffrer et une clé privée pour déchiffrer les fichiers), Cryptolocker commence à chiffrer plus de 70 types de fichiers potentiellement présents sur l’appareil de la victime.
 
fichiers chiffrés
 
Voici brièvement comment le chiffrement fonctionne :
 
chiffrement

Source : Microsoft

 
Pendant ce temps, divers messages et instructions – souvent traduites en français – sont affichés sur l’écran d’accueil de l’utilisateur.
 
fond d'écran ransomware
 
Les utilisateurs infectés doivent payer une somme d’argent pour la clé privée stockée sur leurs serveurs. Sans cela, le déchiffrement est impossible. Lorsque la rançon est payée, le déchiffrement commence et un écran de vérification du paiement s’affiche. Une fois le déchiffrement terminé, les fichiers Cryptolocker sont supprimés.
 
Remarque : ne vous fiez pas à la parole des pirates, payer la rançon ne garantit en aucun cas que vous pourrez récupérer vos fichiers.
 

Qui sont les victimes ?

 
Les ransomware n’attaquent pas seulement les machines des particuliers. Les entreprises, les institutions financières, les agences gouvernementales, les institutions universitaires et d’autres organisations peuvent être ou ont déjà été infectées par un ransomware. De tels incidents détruisent des informations sensibles ou confidentielles, perturbent les activités quotidiennes et, bien sûr, occasionnent des pertes financières. Ils peuvent également nuire à la réputation d’une organisation. Les pirates visent des fichiers, des bases de données, des fichiers de CAO et des données financières ciblés. Par exemple, Cryptolocker a été utilisé pour cibler plus de 70 extensions de fichiers différentes, notamment .doc, .img, .av, .src, .cad.
 

Les logiciels malveillants sont une menace très complexe, à la fois pour les utilisateurs et les sociétés anti-malware. Ils possèdent des capacités d’attaque impressionnantes et un taux de réussite sans précédent en matière d’extorsion d’argent de victimes, explique Catalin Cosoi, chef de la stratégie sécuritaire chez Bitdefender.

 
Rendez-vous en troisième partie pour découvrir les meilleurs moyens de se protéger contre les ransomware.
 

tags


Auteur



Actualités

Les + populaires

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Août 11, 2021

4 min de lecture
Cinq conseils pour renforcer la sécurité de votre compte Apple

Cinq conseils pour renforcer la sécurité de votre compte Apple

Juillet 16, 2021

6 min de lecture
Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Juin 30, 2021

3 min de lecture
7 conseils de sécurité pour protéger votre mobile et vos données personnelles

7 conseils de sécurité pour protéger votre mobile et vos données personnelles

Juin 23, 2021

4 min de lecture
Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Mai 06, 2021

3 min de lecture
La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

Août 17, 2020

2 min de lecture

FOLLOW US ON

SOCIAL MEDIA


Vous pourriez également aimer

Votre argent ou vos données ? Le guide ultime pour comprendre les Ransomware - Partie I Votre argent ou vos données ? Le guide ultime pour comprendre les Ransomware - Partie I
Bogdan BOTEZATU

Mai 13, 2019

4 min de lecture
Comment fonctionne un ransomware ? Le guide ultime pour comprendre les Ransomware – Partie II Comment fonctionne un ransomware ? Le guide ultime pour comprendre les Ransomware – Partie II
Bogdan BOTEZATU

Mai 13, 2019

4 min de lecture
Comment éviter d'être victime d'un ransomware ? Le guide ultime pour comprendre les Ransomeware – Partie III Comment éviter d'être victime d'un ransomware ? Le guide ultime pour comprendre les Ransomeware – Partie III
Bogdan BOTEZATU

Mai 13, 2019

4 min de lecture