Une variante de CryptoLocker se fait passer pour le crack de Microsoft Office
Une variante de CryptoLocker se fait passer pour le crack de Microsoft Office
les utilisateurs invités à être prudents
Le tristement célèbre ransomware CryptoLocker n’a pas fini de faire parler de lui. Cette fois-ci, il s’agit d’une variante atypique, baptisée « WORM_CRILOCK.A » par les experts de TrendMicro, et qui laisse certains experts en sécurité penser que le nouveau malware est en fait une copie que l’on doit à un groupe d’imitateurs et non aux créateurs originels. ESET a également tiré la sonnette d'alarme sur cette menace.
Pourquoi ? Il existe des différences frappantes entre WORM_CRILOCK.A et les autres variantes de CryptoLocker, à commencer par le fait que la variante atypique infecte aussi les disques amovibles, et se présente comme le « crack » des logiciels Microsoft Windows, Office, Photoshop, Team Viewer et même Eset Smart Security, téléchargés habituellement sur les réseaux P2P.
Ce ransomware a recours à des serveurs de commande et de contrôle distants pour générer la clé publique utilisée pour chiffrer les données des utilisateurs.
De plus, par rapport aux autres variantes de CryptoLocker, WORM_CRILOCK.A ne cible pas uniquement les employés des entreprises. Dans sa liste de fichiers à chiffrer, on retrouve aussi de nombreuses extensions de fichiers multimédias.
Même si, dès les premiers abords, il semble plus facile de se défaire de cette nouvelle variante, le maître mot reste la prudence. Les utilisateurs doivent faire attention à ce qu’ils téléchargent et en particulier les inconditionnels des réseaux P2P. Tout « crack » est potentiellement dangereux.
Sources : ESET, Trend Micro
Et vous ?
:fleche: Qu’en pensez-vous ?
AVG identifie une nouvelle variante de CryptoLocker
AVG identifie une nouvelle variante de CryptoLocker,
le ransomware signe son retour avec un algorithme encore plus fort
Cela faisait un moment déjà que CryptoLocker, le ransomware qui chiffre systématiquement tous les documents qui sont stockés en local ainsi que ceux qui sont stockés sur les lecteurs réseau mappés ou sur des stockages amovibles connectés, n’avait pas fait parler de lui. La menace, qui semblait relativement s’être essoufflée, revient sous une nouvelle forme présentant un niveau de sophistication bien plus important que celui de son prédécesseur.
La variante de ce virus a été découverte par AVG qui avance que « les variantes précédentes de ce ransomware avaient des faiblesses ou des failles au niveau de leur chiffrement, ce qui signifie que les fichiers pouvaient être restaurés. Cette nouvelle variante possède un algorithme plus fort et il est quasiment impossible de restaurer les fichiers chiffrés sans la clé de chiffrement détenue uniquement par l’attaquant ». En clair, la restauration qui était dans le domaine du réalisable avec un outil comme Shadow Copy, un outil qui permet aux utilisateurs d’effectuer des sauvegardes de leur système, n’est désormais plus possible depuis que la faille a été colmatée.
Carbonite, une entreprise basée à Boston qui propose un service de sauvegarde et de récupération de données en ligne, s’est familiarisée avec la vitesse à laquelle les infections provoquées par le ransomware peuvent se propager, l’année dernière lorsque ses équipes d’opération ont enregistré un pic d’activité de leurs clients lié à CryptoLocker. Selon Jim Flynn, Vice-Président des opérations et Directeur de la sécurité au sein de l’entreprise, les clients victimes du ransomware ont téléchargé leurs sauvegardes après avoir vu leurs données chiffrées par CrytoLocker et le data center de l’entreprise s’est vite rempli.
« Pendant que les disques se remplissaient des sauvegardes de nos clients, peu après les appels téléphoniques ont débuté et c’était un indicateur qui montrait que quelque chose se tramait », a-t-il dit. La société a alors décidé de réagir en formant une force opérationnelle CryptoLocker avant que les appels ne se fassent encore plus insistants. L’équipe a gardé un œil sur les profils des comptes afin de retirer les sauvegardes avant que le ransomware ne chiffre les fichiers de la victime. Flynn a avancé que les clients qui ont créé de nouveaux fichiers et ont continué à travailler ont pu perdre jusqu’à deux semaines de données, mais il a confirmé que ce n’était pas une perte totale.
« Nous en sommes arrivés à un point où nous devenions comme des automates. Si vous aviez une sauvegarde en ligne avec un versioning nous pouvions vous faire retourner directement à l’état où vous étiez avant d’avoir été infectés, » a déclaré Flynn.
La montée en puissance des ransomware comme CryptoLocker oblige les fournisseurs de solutions de sauvegarde en ligne à se focaliser sur le renforcement des mesures de sécurité tandis qu’ils développent leurs portefeuilles clients. Les infections par des logiciels malveillants peuvent coûter cher aux entreprises. « Avec le fait que les ransomware deviennent encore plus sophistiqués et avec un nombre de victimes qui ne cesse de croître, implémenter un système de sauvegarde hors site capable de restaurer vos données à un moment donné est désormais pratiquement une nécessité », a déclaré Ken Colburn, PDG de Data Doctors Computer Services.
Pour Brad Taylor, PDG de Proficio, un fournisseur de services de sécurité basé en Californie, les entreprises doivent acquérir une meilleure visibilité de leur environnement et avoir une plus grande conscience des risques ou menaces potentiels pour leur entreprise. Selon lui, la surveillance système devient de plus en plus vitale et certaines entreprises ont besoin d’une expertise externe.
« De nombreuses personnes, surtout dans les petites entreprises, pensent qu’elles vont avoir à faire de gros investissements dans la technologie, mais le maillon le plus faible reste toujours les gens », avance Flynn. « Concentrez-vous sur l’éducation du personnel, alertez les et faites leur prendre conscience des menaces les plus récentes », a-t-il exhorté.
C’est d’ailleurs le même son de cloche chez AVG qui donne quelques recommandations sur la façon dont vous pouvez rester protégés : toujours effectuer des sauvegardes, penser avant de cliquer, avoir un logiciel qui vous protège et enfin avoir des outils de protection d’identité.
Source : AVG
Et vous ?
:fleche: Qu'en pensez-vous ?
Les ransomwares Cryptowall et Simplocker refont surface
Les ransomwares Cryptowall et Simplocker refont surface
et gagnent en complexité sur Windows et Android
Un ransomware est un logiciel malveillant qui chiffre les données et demande à son propriétaire de payer une rançon en échange du décryptage de ces données.
Après les versions un et deux, le ransomware CryptoWall fait à nouveau parler de lui. Il a été identifié sur la toile et arbore pour cette nouvelle version des propriétés plus élaborées. Pour rappel, Cryptowall a été détecté depuis l’année 2014 selon les informations fournies par la firme Dell sur sa page consacrée à la sécurité, mais a commencé à agir depuis l’année 2013.
Cette année encore, la division en charge de la sécurité de l’entreprise Cisco s’est penchée sur cette nouvelle version afin de comprendre son fonctionnement. Il ressort que pour cette nouvelle mouture, certains aspects ont été remaniés. Par exemple, le basculement entre les 32-bit et 64-bit n’est plus supporté. La fonctionnalité Anti-VM pour empêcher son fonctionnement dans un environnement virtuel n’est plus prise en charge de même que l’utilisation de plusieurs exploitations dans le binaire.
Toutefois, il affiche certaines caractéristiques beaucoup plus sophistiquées. En effet, l’absence d’exploitations internes indique que le malware utilise des kits d’exploitation pour augmenter les privilèges afin de désactiver toutes les mesures de protection et infecter le PC sans difficulté. Cela permet de ne pas être dépendant du type de compte utilisé par le propriétaire du terminal, car peu importe les droits d’administration, l’infection peut se réaliser. Et une fois les privilèges acquis, le processus est le même que celui de la version précédente. Du code malicieux est injecté dans l’explorer qui répand l’infection dans la base des registres et le menu démarrer. Finalement, toute la protection du système est désactivée et l’infection atteint le svchost.
À côté de ce ransomware, nous avons également Simplocker qui s’est récemment manifesté. Simplocker est un logiciel malveillant qui s’attaque uniquement aux téléphones Android. Dans la précédente version, chaque clé de chiffrement générée après une infection était codée en dur sur le téléphone. Cela a grandement facilité l’éradication de l’infection. Pour cette version, les clés de chiffrement générées sont uniques. Le déchiffrement des données du téléphone s’avère difficile dans ces conditions, puisqu’une clé générique serait inappropriée pour cela. Toutefois Avast rassure de pouvoir fournir des outils pour lutter contre toutes les versions de Simplocker.
Chaque ramsomware ayant son taux de dégâts, il est recommandé de faire une sauvegarde des données, car même lorsque le téléphone ou le PC est désinfecté, rien ne garantit que les données chiffrées soient retrouvées à moins que les ravisseurs soient de « bonne foi » pour restituer les données chiffrées en cas de paiement de la rançon.
Source : Blog Cisco, Blog Avast
Et vous ?
:fleche: Que pensez-vous de cette recrudescence des ransomwares ?