CryptoLocker : le ransomware qui menace de bloquer tous vos fichiers
CryptoLocker : le ransomware qui menace de bloquer tous vos fichiers,
l'un des plus dangereux de l'heure
CryptoLocker est le premier "ransomware" à aller au bout de sa menace et à effectivement bloquer les données. Contrairement à plusieurs de ses semblables, CryptoLocker empêche toute récupération des données sans la clé fournie en cas de paiement de la rançon.
CryptoLocker s'attaque aux ordinateurs fonctionnant sous Windows. Le ransomware se présente souvent sous la forme de pièce jointe. Certains disent qu'il se répand également à travers le botnet Zeus. Une fois sur votre machine, il chiffre systématiquement tous les documents qui sont stockés en local, ainsi que ceux qui sont stockés sur les lecteurs réseau mappés ou sur des stockages amovibles connectés. Pour ce faire, le malware utilise une clé de chiffrement RSA à 2048 bits et la clé de déchiffrement ne sera communiquée qu'au moment du paiement de la rançon.
La victime a alors 100 heures pour payer une rançon d'environ 219 euros (300 dollars), sous peine de voir la totalité de ses fichiers (photos, vidéos, etc) être bloquée. Un paiement qu'il faudra effectuer avec une carte de débit rechargeable Green Dot ou en Bitcoin, la monnaie électronique. Dans le cas contraire, la clé de déchiffrement est automatiquement détruite et l'accès aux fichiers est perdu de manière irréversible.
Les experts en sécurité s'accordent à dire que l'un des meilleurs moyens de prévenir les attaques du malware est de faire attention aux liens qu'on reçoit en courriel, sur lesquels on clique, parce qu'il se répand principalement via des hameçonnages de courriels.
Fort heureusement, l'expert en sécurité Nick Shaw a créé un logiciel, qu'il a baptisé CryptoPrevent, qui applique un certain nombre de paramètres à votre installation de Windows qui empêchent l'exécution de CryptoLocker, et qui a fait ses preuves dans les environnements Windows 7 et Windows XP.
[ame="http://www.youtube.com/watch?v=M4dNuZYGgMM"]CryptoPrevent en action[/ame]
Dans ces circonstances, il est impératif de penser à faire des sauvegardes de ses fichiers sur des stockages amovibles ou sur le Cloud. Faut-il payer ou non la rançon demandée ? La société de sécurité informatique Sophos s'est penchée sur un certain nombre de fichiers qui ont été chiffrés par ce malware particulier, et n'a pas pu trouver de faille permettant de se passer du paiement de la rançon. Il devient donc clair que le seul moyen de récupérer vos données est de payer la rançon. Cependant, cela pose un grand dilemme éthique. En payant la rançon, vous faites de ce genre de " rapt de données " une activité rentable qui va donc se perpétuer. Toutefois, si vous ne payez pas la rançon, vous perdez l'accès à tout ce que vous avez stocké sur votre ordinateur.
Source : Sophos
Et vous ?
:fleche: Quel choix suggéreriez-vous ? Payer ou ne pas payer ?
La réponse automatique attendue !
Citation:
Envoyé par
coolspot
Ou passez sur un vrai système d'exploitation comme GNU/Linux et arreter de faire tourner cette merde d'XP qui n'est qu'une antiquité étant un gruyère en sécurité et fiabilité. :ccool:
Seulement si Linux dépasse un jour le seuil de 1 % d'utilisateurs il aura autant de malwares que Windows et même plus puisque son code est ouvert.
CryptoLocker : un département de police contraint de payer la rançon
CryptoLocker : un département de police contraint de payer la rançon,
750 dollars en bitcoins pour regagner l'accès à ses fichiers
Le quotidien Herald News de la région de Swansea (Massachusetts) a rapporté que le Département de Police de la région a été victime du ransomware CryptoLocker. Après que plusieurs de leurs images et documents aient été chiffrés par le malware, les forces de l'ordre se sont retrouvées dans l'obligation de suivre les directives dictées par CryptoLocker. C'est ainsi qu'ils ont déboursé la somme de 750 dollars en Bitcoins pour pouvoir récupérer leurs fichiers.
« [Le cheval de Troie] est si compliqué et réussi que vous devez acheter ces bitcoins, dont nous n'avions jamais entendu parler » explique à la presse le lieutenant de Police Gregory Ryan. Il s'est toutefois gardé d'expliquer la raison pour laquelle ces dossiers étaient si importants qu'un service de police juge préférable de payer une rançon aux hackers. « Une bonne leçon pour ceux qui ont eu affaire à lui » estime-t-il. Et de préciser que l'infection n'a pas causé de dommages au système du service utilisé pour enregistrer des rapports officiels ou des images. « Nous n'avons jamais été compromis » assure-t-il.
« Le virus n'est plus là. Nous avons mis à jour notre logiciel antivirus. Nous allons essayer de nous serrer la ceinture et faire appel à des experts, mais comme tous les experts en informatique disent, il n'y a aucun moyen infaillible pour verrouiller votre système » a déclaré le lieutenant.
Pour Gavin Millard, directeur technique de l'entreprise de sécurité Tripwire, « avec le FBI et la NCA Royaume-Uni qui indiquent que ce type d'activité ne devrait pas être encouragée par le paiement de la rançon , il est surprenant de voir que le service de police local paye pour regagner l'accès aux fichiers ». Et de rajouter que « ce qui est plus inquiétant cependant, c'est l'absence apparente de la sécurité et des procédures de sauvegarde sur des systèmes qui pourraient abriter des documents critiques et hautement confidentiels ».
Les campagnes couronnées de succès de CryptoLocker provoquent une inquiétude grandissante. Le malware se distingue des autres ransomware par sa technique de chiffrement des fichiers de la victime, mais aussi parce qu'il exige un paiement en bitcoins qui, contrairement à un paiement classique, s'avère difficile voire impossible à tracer ou à bloquer.
CryptoLocker se propage principalement via des pièces jointes, généralement un fichier PDF qui prétend provenir d'un ministère ou d'un service de livraison. Comme toujours, les experts conseillent de ne pas ouvrir les pièces jointes si vous n'êtes pas sûr de son contenu et de la source.
« La seule raison pour laquelle ce type d'attaque est une réussite c'est parce que les gens sont prêts à payer, » commente John Hawes sur le blog de Sophos. « Si personne ne payait, il n'y aurait pas de ransomeware ». D'autres experts comme le U.S. Computer Emergency Readiness Team (CERT) exhortent eux aussi les personnes touchées par CryptoLocker à ne pas payer la rançon, mais de signaler l'incident au Internet Crime Complaint Center du FBI. Ils rappellent également que les utilisateurs doivent régulièrement sauvegarder leurs fichiers importants sur des disques durs externes.
Sources : Herald News, Sophos, US CERT
Et vous ?
:fleche: Qu'en pensez-vous ?
Une variante de CryptoLocker se fait passer pour le crack de Microsoft Office
Une variante de CryptoLocker se fait passer pour le crack de Microsoft Office
les utilisateurs invités à être prudents
Le tristement célèbre ransomware CryptoLocker n’a pas fini de faire parler de lui. Cette fois-ci, il s’agit d’une variante atypique, baptisée « WORM_CRILOCK.A » par les experts de TrendMicro, et qui laisse certains experts en sécurité penser que le nouveau malware est en fait une copie que l’on doit à un groupe d’imitateurs et non aux créateurs originels. ESET a également tiré la sonnette d'alarme sur cette menace.
Pourquoi ? Il existe des différences frappantes entre WORM_CRILOCK.A et les autres variantes de CryptoLocker, à commencer par le fait que la variante atypique infecte aussi les disques amovibles, et se présente comme le « crack » des logiciels Microsoft Windows, Office, Photoshop, Team Viewer et même Eset Smart Security, téléchargés habituellement sur les réseaux P2P.
Ce ransomware a recours à des serveurs de commande et de contrôle distants pour générer la clé publique utilisée pour chiffrer les données des utilisateurs.
De plus, par rapport aux autres variantes de CryptoLocker, WORM_CRILOCK.A ne cible pas uniquement les employés des entreprises. Dans sa liste de fichiers à chiffrer, on retrouve aussi de nombreuses extensions de fichiers multimédias.
Même si, dès les premiers abords, il semble plus facile de se défaire de cette nouvelle variante, le maître mot reste la prudence. Les utilisateurs doivent faire attention à ce qu’ils téléchargent et en particulier les inconditionnels des réseaux P2P. Tout « crack » est potentiellement dangereux.
Sources : ESET, Trend Micro
Et vous ?
:fleche: Qu’en pensez-vous ?
AVG identifie une nouvelle variante de CryptoLocker
AVG identifie une nouvelle variante de CryptoLocker,
le ransomware signe son retour avec un algorithme encore plus fort
Cela faisait un moment déjà que CryptoLocker, le ransomware qui chiffre systématiquement tous les documents qui sont stockés en local ainsi que ceux qui sont stockés sur les lecteurs réseau mappés ou sur des stockages amovibles connectés, n’avait pas fait parler de lui. La menace, qui semblait relativement s’être essoufflée, revient sous une nouvelle forme présentant un niveau de sophistication bien plus important que celui de son prédécesseur.
La variante de ce virus a été découverte par AVG qui avance que « les variantes précédentes de ce ransomware avaient des faiblesses ou des failles au niveau de leur chiffrement, ce qui signifie que les fichiers pouvaient être restaurés. Cette nouvelle variante possède un algorithme plus fort et il est quasiment impossible de restaurer les fichiers chiffrés sans la clé de chiffrement détenue uniquement par l’attaquant ». En clair, la restauration qui était dans le domaine du réalisable avec un outil comme Shadow Copy, un outil qui permet aux utilisateurs d’effectuer des sauvegardes de leur système, n’est désormais plus possible depuis que la faille a été colmatée.
Carbonite, une entreprise basée à Boston qui propose un service de sauvegarde et de récupération de données en ligne, s’est familiarisée avec la vitesse à laquelle les infections provoquées par le ransomware peuvent se propager, l’année dernière lorsque ses équipes d’opération ont enregistré un pic d’activité de leurs clients lié à CryptoLocker. Selon Jim Flynn, Vice-Président des opérations et Directeur de la sécurité au sein de l’entreprise, les clients victimes du ransomware ont téléchargé leurs sauvegardes après avoir vu leurs données chiffrées par CrytoLocker et le data center de l’entreprise s’est vite rempli.
« Pendant que les disques se remplissaient des sauvegardes de nos clients, peu après les appels téléphoniques ont débuté et c’était un indicateur qui montrait que quelque chose se tramait », a-t-il dit. La société a alors décidé de réagir en formant une force opérationnelle CryptoLocker avant que les appels ne se fassent encore plus insistants. L’équipe a gardé un œil sur les profils des comptes afin de retirer les sauvegardes avant que le ransomware ne chiffre les fichiers de la victime. Flynn a avancé que les clients qui ont créé de nouveaux fichiers et ont continué à travailler ont pu perdre jusqu’à deux semaines de données, mais il a confirmé que ce n’était pas une perte totale.
« Nous en sommes arrivés à un point où nous devenions comme des automates. Si vous aviez une sauvegarde en ligne avec un versioning nous pouvions vous faire retourner directement à l’état où vous étiez avant d’avoir été infectés, » a déclaré Flynn.
La montée en puissance des ransomware comme CryptoLocker oblige les fournisseurs de solutions de sauvegarde en ligne à se focaliser sur le renforcement des mesures de sécurité tandis qu’ils développent leurs portefeuilles clients. Les infections par des logiciels malveillants peuvent coûter cher aux entreprises. « Avec le fait que les ransomware deviennent encore plus sophistiqués et avec un nombre de victimes qui ne cesse de croître, implémenter un système de sauvegarde hors site capable de restaurer vos données à un moment donné est désormais pratiquement une nécessité », a déclaré Ken Colburn, PDG de Data Doctors Computer Services.
Pour Brad Taylor, PDG de Proficio, un fournisseur de services de sécurité basé en Californie, les entreprises doivent acquérir une meilleure visibilité de leur environnement et avoir une plus grande conscience des risques ou menaces potentiels pour leur entreprise. Selon lui, la surveillance système devient de plus en plus vitale et certaines entreprises ont besoin d’une expertise externe.
« De nombreuses personnes, surtout dans les petites entreprises, pensent qu’elles vont avoir à faire de gros investissements dans la technologie, mais le maillon le plus faible reste toujours les gens », avance Flynn. « Concentrez-vous sur l’éducation du personnel, alertez les et faites leur prendre conscience des menaces les plus récentes », a-t-il exhorté.
C’est d’ailleurs le même son de cloche chez AVG qui donne quelques recommandations sur la façon dont vous pouvez rester protégés : toujours effectuer des sauvegardes, penser avant de cliquer, avoir un logiciel qui vous protège et enfin avoir des outils de protection d’identité.
Source : AVG
Et vous ?
:fleche: Qu'en pensez-vous ?
Les ransomwares Cryptowall et Simplocker refont surface
Les ransomwares Cryptowall et Simplocker refont surface
et gagnent en complexité sur Windows et Android
Un ransomware est un logiciel malveillant qui chiffre les données et demande à son propriétaire de payer une rançon en échange du décryptage de ces données.
Après les versions un et deux, le ransomware CryptoWall fait à nouveau parler de lui. Il a été identifié sur la toile et arbore pour cette nouvelle version des propriétés plus élaborées. Pour rappel, Cryptowall a été détecté depuis l’année 2014 selon les informations fournies par la firme Dell sur sa page consacrée à la sécurité, mais a commencé à agir depuis l’année 2013.
Cette année encore, la division en charge de la sécurité de l’entreprise Cisco s’est penchée sur cette nouvelle version afin de comprendre son fonctionnement. Il ressort que pour cette nouvelle mouture, certains aspects ont été remaniés. Par exemple, le basculement entre les 32-bit et 64-bit n’est plus supporté. La fonctionnalité Anti-VM pour empêcher son fonctionnement dans un environnement virtuel n’est plus prise en charge de même que l’utilisation de plusieurs exploitations dans le binaire.
Toutefois, il affiche certaines caractéristiques beaucoup plus sophistiquées. En effet, l’absence d’exploitations internes indique que le malware utilise des kits d’exploitation pour augmenter les privilèges afin de désactiver toutes les mesures de protection et infecter le PC sans difficulté. Cela permet de ne pas être dépendant du type de compte utilisé par le propriétaire du terminal, car peu importe les droits d’administration, l’infection peut se réaliser. Et une fois les privilèges acquis, le processus est le même que celui de la version précédente. Du code malicieux est injecté dans l’explorer qui répand l’infection dans la base des registres et le menu démarrer. Finalement, toute la protection du système est désactivée et l’infection atteint le svchost.
À côté de ce ransomware, nous avons également Simplocker qui s’est récemment manifesté. Simplocker est un logiciel malveillant qui s’attaque uniquement aux téléphones Android. Dans la précédente version, chaque clé de chiffrement générée après une infection était codée en dur sur le téléphone. Cela a grandement facilité l’éradication de l’infection. Pour cette version, les clés de chiffrement générées sont uniques. Le déchiffrement des données du téléphone s’avère difficile dans ces conditions, puisqu’une clé générique serait inappropriée pour cela. Toutefois Avast rassure de pouvoir fournir des outils pour lutter contre toutes les versions de Simplocker.
Chaque ramsomware ayant son taux de dégâts, il est recommandé de faire une sauvegarde des données, car même lorsque le téléphone ou le PC est désinfecté, rien ne garantit que les données chiffrées soient retrouvées à moins que les ravisseurs soient de « bonne foi » pour restituer les données chiffrées en cas de paiement de la rançon.
Source : Blog Cisco, Blog Avast
Et vous ?
:fleche: Que pensez-vous de cette recrudescence des ransomwares ?