ransomware / rançongiciel

Les ransomwares (rançongiciel en français) sont des menaces qui existent depuis années et qui depuis 2015, sont devenus une menace persistance sous la forme des Crypto-Ransomware.
Les ransomwares/rançongiciels sont donc des malwares qui visent à prendre en otage l’ordinateur ou les données et demander de payer une somme d’argent en retour de l’accès à ces derniers.

Ransomware/rançongiciel : Trojan Winlock

De 2011 à 2014, les ransomwares étaient sous la forme de Winlocker, le nom provient du fait, que ces ransomware bloquait l’accès à Windows en affichant un message se faisant passer pour les autorités et demander de payer une fausse amende.
Le nom courant donné par les internautes étaient Virus Gendarmerie ou Virus Ukash car le paiement se faisant par mandant Ukash ou PaysafeCard.

Browlock_National_Security_Agency_Interpol_Association

Ransomware/rançongiciel : Les crypto-Ransomwares

A partir de 2014, les Crypto-Ransomware ont pris le relai, le principe n’est pas nouveau mais ce type de malware n’était juste que là pas très utilisé.
Ils ‘agit ici de chiffrer les documents (ou crypter dans le langage commun) les documents (format .doc, .pdf, .jpg, .gif, .png etc), pour les rendre illisible.
Bien souvent, le ransomware/rançongiciel se charge aussi de modifier l’extension de ces documents pour montrer qu’ils ont été modifiés.
Enfin des instructions de paiements sont laissés au format images, HTML et texte.

Voici un exemple d’instructions de paiement, ici simplement une adresse email de contact du pirate est laissé.

ransomware_info_cryptedfiles.biz

Ci-dessous, les instructions de paiements qui stipulent que vous devez vous connecter à un site sur le réseau TOR.
Le paiement se fait en BitCoin.

Locky_Ransomware_stopransomware

Enfin ci-dessous, deux exemples de fichiers chiffrés/cryptés avec l’extension modifiée.

Ransomware_extension_vvv Locky_Ransomware_4

Lorsque le ransomware/rançongiciel est codé correctement et notamment dans la partie qui chiffre les documents, il n’y a malheureusement aucun moyen de récupérer l’accès aux documents à part payer, sauf dans le cas où vous possédez des sauvegardes.

Ces attaques sont donc redoutables et peuvent faire énormément de dégâts.

Comment les Ransomwares/rançongiciels sont distribués

Pour éviter ces menaces, vous devez donc vous tenir au courant des méthodes utilisées pour les distribuer

Deux méthodes principales sont utilisées :

Les campagnes d’emails malicieux peuvent être en langue française et sous forme de documents Word.
Soyez donc très vigilant.

Locky_Ransomware_spam_mail_word_stopransomware Locky_Ransomware_spam_mail_word

Pour sécuriser votre ordinateur face à ces ransomwares/raçongiciels, vous pouvez lire le contenu de la page : Comment sécuriser mon Windows notamment il convient de désactiver Windows Script HOST, plus d’informations sur la page : Comment se protéger des scripts malicieux sur Windows

Les Ransomwares/rançongiciels les plus répandus en France

Parmi les ransomware/rançongiciel les plus répandus et touchant la France, on trouve :

  • CryptoWall : est distribué par des campagnes d’emails malicieux et Web Exploit.
  • TeslaCrypt : qui a une forte propagation depuis Décembre 2015
  • Locky : ce dernier est poussé par des campagnes d’emails malicieux.

Vous trouverez une liste d’autres Ransomware/rançongiciel sur la page : Ransomware
Voir aussi la page : Ransomware – supprimer-virus.com