Table des matières:
- Qu'est-ce qu'un ransomware?
- Que faire des ransomwares
- Ransomware nouveau et amélioré d'aujourd'hui
- Protéger votre ordinateur
Les ransomwares, ou crypto-extorsion, connaissent une forte résurgence. En décembre 2013, ESET Security a déterminé que les ransomwares appartenant à la fameuse famille CryptoLocker se sont propagés aux quatre coins du monde. Et plus de 50% des attaques ont eu lieu ici même aux États-Unis.
Source: ESET Security
Même si CryptoLocker est un logiciel malveillant très performant, il semble qu'il soit sur le point d'être usurpé par un ransomware encore plus insidieux appelé PowerLocker.
Qu'est-ce qu'un ransomware?
Pour ceux qui ne sont pas familiers avec les ransomwares, le moment est venu de les découvrir. En fait, il est préférable de lire à ce sujet maintenant, que de lui être présenté via une fenêtre sinistre comme celle ci-dessous.
Source: Malwarebytes.org
La diapositive annonce qu'un ransomware, en l'occurrence CryptoLocker, a pris le contrôle de l'ordinateur de la victime. Malwarebytes.org a déterminé que CryptoLocker recherche des fichiers avec les extensions suivantes:
3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx
Certaines des extensions les plus connues, trouvées en gras, sont liées aux documents Microsoft Office. Si la victime avait des documents avec l'une des extensions ci-dessus sur ses ordinateurs désormais infectés, les fichiers deviendraient complètement inaccessibles. En d'autres termes, ils seront payés en rançon.
Dans la capture d'écran ci-dessus, la section entourée de vert mentionne que le cryptage par clé publique-privée a été utilisé pour crypter les fichiers. Et, à moins que vous ne travailliez pour la NSA, ce type de cryptage est très probablement incassable. La section entourée de rouge annonce le montant de la rançon, dans ce cas 300 $.
Que faire des ransomwares
Une fois infecté par un ransomware, les options sont simples. Les victimes paient ou non. Aucune des deux options n'est un bon choix. Ne pas payer signifie que les fichiers sont perdus. Ensuite, l'utilisateur doit décider de nettoyer l'ordinateur avec un produit anti-malware ou de reconstruire complètement l'ordinateur.
Mais payer la rançon pue aussi, car cela oblige les victimes à faire confiance à l'extorsionnaire. Avant de mordre la balle et de payer la rançon, pensez à ce qui suit: Une fois que l'extorsionniste a l'argent, pourquoi envoyer les informations de décryptage? Et, si tout fonctionne et que vos fichiers sont publiés, vous devez toujours suivre le même processus pour décider de nettoyer l'ordinateur avec un produit anti-malware ou de le reconstruire.
Ransomware nouveau et amélioré d'aujourd'hui
Plus tôt, j'ai brièvement mentionné PowerLocker comme le nouveau ransomware amélioré. Et il a le potentiel de faire plus de mal que n'importe quelle variante précédente de ransomware. Dan Goodin chez Ars Technica a fourni cette explication de ce que PowerLocker est capable de faire.
Dans son article, Goodin déclare que le métro numérique a décidé de devenir commercial, offrant PowerLocker comme un kit de malware DIY pour 100 $, ce qui signifie que plus de mauvaises personnes - en particulier celles qui ne maîtrisent pas les logiciels malveillants - pourront infliger des difficultés financières douleur aux voyageurs Internet sans méfiance.
"PowerLocker chiffre les fichiers à l'aide de clés basées sur l'algorithme Blowfish. Chaque clé est ensuite chiffrée dans un fichier qui ne peut être déverrouillé que par une clé RSA privée de 2048 bits", écrit Goodin.
J'aime détacher des informations sur les logiciels malveillants qui viennent d'être découverts et qui ne circulent pas encore dans la nature. J'ai donc contacté Marcin Kleczynski, PDG et fondateur de Malwarebytes.org, pour lui demander son avis sur PowerLocker.
Kleczynski, avec ses collègues Jerome Segura et Christopher Boyd, a mentionné que PowerLocker est si nouveau qu'une grande partie de ce qui est publié est de la spéculation. Gardant cela à l'esprit, PowerLocker améliore potentiellement CryptoLocker en étant capable de:
- Désactivez certains programmes Windows de base, tels que le gestionnaire de tâches, regedit et le terminal de ligne de commande
- Démarrez en mode normal et sécurisé
- Évitez la détection de VM et les débogueurs populaires
"Compte tenu du succès de CryptoLocker, il n'est pas surprenant de voir des copieurs proposer de meilleures fonctionnalités", a déclaré Kleczynski. "La bonne nouvelle: puisque cette menace a été détectée tôt, elle devrait permettre aux forces de l'ordre de la maîtriser avant qu'elle ne sorte et ne commence à infecter les PC."
Protéger votre ordinateur
Alors, comment pouvez-vous vous protéger contre une rançon? Kleczynski fournit quelques conseils simples.
"Soyez prudent lorsque vous ouvrez des pièces jointes à des e-mails. En particulier: Amazon, DHL et d'autres factures similaires qui se présentent sous la forme d'un fichier zip. Le plus souvent, elles sont fausses et contiennent des logiciels malveillants", a déclaré Kleczynski.
Au-delà de cela, il n'y a pas de formule magique pour éviter les ransomwares. Il s'agit simplement de logiciels malveillants à la recherche d'ordinateurs vulnérables à exploiter. Les programmes anti-malware peuvent être d'une certaine aide, mais ils se déclenchent généralement après le cryptage des données. La meilleure solution consiste à maintenir à jour le système d'exploitation et le logiciel d'application de l'ordinateur, en éliminant les faiblesses que les méchants pourraient exploiter.