Le ransomware est-il vraiment aussi terrifiant que vous le pensez?

Publicité

Les ransomwares sont une nuisance régulière. Une infection par un rançongiciel prend votre ordinateur en otage et exige le paiement de sa libération. Dans certains cas, un paiement ne sécurise pas vos fichiers. Les photos personnelles, la musique, les films, le travail et bien plus sont détruits. Le taux d'infection par les ransomwares continue d'augmenter - malheureusement, nous n'avons toujours pas atteint le sommet Ransomware-as-a-Service apportera le chaos à tout le mondeLe ransomware passe de ses origines en tant qu'outil de criminels et de malfaiteurs à une industrie de services inquiétante, dans laquelle tout le monde peut s'abonner à un service de ransomware et cibler des utilisateurs comme vous et moi. Lire la suite - et sa complexité augmente.

Il y a eu des exceptions notables à cette règle. Dans certains cas, la sécurité les chercheurs ont craqué le cryptage des ransomwares Battez les escrocs avec ces outils de décryptage RansomwareSi vous avez été infecté par un ransomware, ces outils de décryptage gratuits vous aideront à déverrouiller et à récupérer vos fichiers perdus. N'attendez pas une minute!

Lire la suite , leur permettant de créer un outil de décryptage convoité 5 sites et applications pour vaincre les ransomwares et vous protégerAvez-vous été confronté à une attaque de ransomware jusqu'à présent, où certains de vos fichiers ne sont plus accessibles? Voici quelques-uns des outils que vous pouvez utiliser pour prévenir ou résoudre ces problèmes. Lire la suite . Ces événements sont rares et surviennent généralement lorsqu'un botnet malveillant est supprimé. Cependant, tous les ransomwares ne sont pas aussi complexes que nous le pensons.

L'anatomie d'une attaque

Contrairement à certaines variantes de logiciels malveillants courants, les ransomwares tentent de rester cachés aussi longtemps que possible. C'est pour laisser le temps de crypter vos fichiers personnels. Le ransomware est conçu pour maintenir la quantité maximale de ressources système à la disposition de l'utilisateur, et non pour déclencher l'alarme. Par conséquent, pour de nombreux utilisateurs, la première indication d'une infection par un rançongiciel est un message post-cryptage expliquant ce qui s'est passé.

Comparé à d'autres logiciels malveillants Virus, logiciels espions, logiciels malveillants, etc. Expliqué: Comprendre les menaces en ligneLorsque vous commencez à penser à toutes les choses qui pourraient mal tourner lorsque vous naviguez sur Internet, le Web commence à ressembler à un endroit assez effrayant. Lire la suite , le processus d'infection du ransomware est tout à fait prévisible. L'utilisateur téléchargera un fichier infecté: celui-ci contient la charge utile du rançongiciel. Lorsque le fichier infecté est exécuté, rien ne semble se produire immédiatement (selon le type d'infection). L'utilisateur ignore que les ransomwares commencent à crypter leurs fichiers personnels.

En plus de cela, une attaque de ransomware a plusieurs autres modèles de comportement distincts:

• Remarque distincte sur les ransomwares.
• Transmission de données en arrière-plan entre l'hôte et les serveurs de contrôle.
• L'entropie des fichiers change.

Entropie de fichiers

L'entropie des fichiers peut être utilisée pour identifier les fichiers cryptés avec un ransomware. Rédaction pour Internet Storm Center, Rob VandenBrink décrit brièvement entropie de fichiers et ransomware:

Dans l'industrie informatique, l'entropie d'un fichier fait référence à une mesure spécifique de l'aléatoire appelée «entropie de Shannon», du nom de Claude Shannon. Cette valeur est essentiellement une mesure de la prévisibilité de tout caractère spécifique dans le fichier, sur la base des caractères précédents (tous les détails et les mathématiques ici). En d'autres termes, c'est une mesure du "caractère aléatoire" des données dans un fichier - mesuré sur une échelle de 1 à 8, où les fichiers texte typiques auront une faible valeur, et les fichiers cryptés ou compressés auront une valeur élevée mesure.

Je suggère de lire l'article original car il est très intéressant.

Vous ne pouvez pas résoudre les ransomwares avec un algorithme d'entropie sophistiqué trouvé dans Google ;-) Le problème est un peu plus complexe que cela.

- Le monstre mach (@osxreverser) 20 avril 2016

Est-ce différent d'un malware «ordinaire»?

Les ransomwares et les malwares partagent un objectif commun: rester obscurcis. L'utilisateur a une chance de lutter contre l'infection si elle est repérée avant longtemps. Le mot magique est «cryptage». Le ransomware prend sa place dans l'infamie pour son utilisation du cryptage, alors que le cryptage est utilisé dans les logiciels malveillants depuis très longtemps.

Le chiffrement aide les logiciels malveillants à passer sous le radar des programmes antivirus en confondant la détection des signatures. Au lieu de voir une chaîne de caractères reconnaissable qui alerterait une barrière de défense, l'infection passe inaperçue. Bien que les suites antivirus deviennent de plus en plus aptes à remarquer ces chaînes - communément appelées hachages - il est trivial pour de nombreux développeurs de logiciels malveillants de contourner.

Méthodes d'obscurcissement courantes

Voici quelques méthodes d'obfuscation plus courantes:

• Détection - De nombreuses variantes de logiciels malveillants peuvent détecter si elles sont utilisées dans un environnement virtualisé. Cela permet au logiciel malveillant d'échapper à l'attention des chercheurs en sécurité en refusant simplement d'exécuter ou de décompresser. À son tour, cela arrête la création d'une signature de sécurité à jour.
• Horaire - Les meilleures suites antivirus sont constamment en alerte, recherchant une nouvelle menace. Malheureusement, les programmes antivirus généraux ne peuvent pas protéger tous les aspects de votre système à tout moment. Par exemple, certains logiciels malveillants ne se déploieront qu'après un redémarrage du système, échappant (et probablement désactivant dans le processus) les opérations antivirus.
• la communication - Les logiciels malveillants vont téléphoner à la maison à son serveur de commande et contrôle (C&C) pour obtenir des instructions. Ce n'est pas le cas de tous les logiciels malveillants. Cependant, lorsqu'ils le font, un programme antivirus peut détecter des adresses IP spécifiques connues pour héberger des serveurs C&C et tenter d'empêcher la communication. Dans ce cas, les développeurs de logiciels malveillants font simplement pivoter l'adresse du serveur C&C, échappant à la détection.
• Fausse opération - Un faux programme intelligemment conçu est peut-être l'une des notifications les plus courantes d'une infection par un logiciel malveillant. Les utilisateurs inconscients supposent que cela fait partie intégrante de leur système d'exploitation (généralement Windows) et suivent allègrement les instructions à l'écran. Ceux-ci sont particulièrement dangereux pour les utilisateurs de PC non qualifiés et, tout en agissant comme un frontal convivial, peuvent permettre à une multitude d'entités malveillantes d'accéder à un système.

Cette liste n'est pas exhaustive. Cependant, il couvre certaines des méthodes les plus courantes utilisées par les logiciels malveillants pour rester obscurcies sur votre PC.

Le ransomware est-il simple?

Simple est peut-être le mauvais mot. Le ransomware est différent. Une variante de ransomware utilise le cryptage plus largement que ses homologues, mais de manière différente. le Actions d'une infection par un ransomware sont ce qui le rend remarquable, ainsi que la création d'une aura: le ransomware est quelque chose à craindre.

Quand #ransomware évoluera et frappera #IoT et #Bitcoin, il sera trop tard pour fragmenter TOUTES vos données informatiques. Veuillez le faire maintenant. #Pirater

- Maxime Kozminski (@MaxKozminski) 20 février 2017

Le ransomware utilise des fonctionnalités quelque peu nouvelles, telles que:

• Chiffrement de grandes quantités de fichiers.
• Suppression de clichés instantanés qui permettraient normalement aux utilisateurs de restaurer à partir de la sauvegarde.
• Création et stockage de clés de chiffrement sur des serveurs C&C distants.
• Exiger une rançon, généralement en Bitcoin introuvable.

Alors que le malware traditionnel «vole» simplement vos identifiants et mots de passe utilisateur, les ransomwares vous affectent directement, perturbant votre environnement informatique immédiat. De plus, ses conséquences sont très visuelles.

Ransomware Tactics: Master File Table

«Wow!» De Ransomware Le facteur vient certainement de son utilisation du chiffrement. Mais la sophistication ne semble-t-elle pas? Engin Kirda, co-fondateur et architecte en chef de Lastline Labs, ne pense pas. Lui et son équipe (en utilisant la recherche entreprise par Amin Kharraz, un des doctorants de Kirda) a réalisé une énorme étude sur les ransomwares, analysant 1359 échantillons provenant de 15 familles de ransomwares. Leur analyse a exploré les mécanismes de suppression et a trouvé des résultats intéressants.

Quels sont les mécanismes de suppression? Environ 36% des cinq familles de ransomwares les plus courantes de l'ensemble de données supprimaient des fichiers. Si vous n'avez pas payé, les fichiers étaient en train d'être supprimés. En fait, la plupart des suppressions ont été assez simples.

Comment un professionnel ferait-il cela? Ils viseraient en fait à effacer le disque afin qu'il soit difficile de récupérer les données. Vous écririez sur le disque, vous effaceriez ce fichier du disque. Mais la plupart d'entre eux étaient, bien sûr, paresseux, et ils travaillaient directement sur les entrées de la table de fichiers maîtres et marquaient les choses comme supprimées, mais les données restaient toujours sur le disque.

Par la suite, ces données supprimées pourraient être récupérées et, dans de nombreux cas, entièrement récupérées.

Tactiques Ransomware: environnement de bureau

Un autre comportement classique de ransomware est le verrouillage du bureau. Ce type d'attaque est présent dans des variantes plus basiques. Au lieu de réellement continuer à crypter et supprimer des fichiers, le ransomware verrouille le bureau, forçant l'utilisateur à quitter la machine. La majorité des utilisateurs considèrent cela comme signifiant que leurs fichiers ont disparu (cryptés ou complètement supprimés) et ne peuvent tout simplement pas être récupérés.

Tactiques Ransomware: Messages forcés

Les infections par rançongiciels affichent notoirement leur note de rançon. Il exige généralement le paiement de l'utilisateur pour le retour en toute sécurité de ses fichiers. En plus de cela, les développeurs de ransomwares envoient les utilisateurs vers des pages Web spécifiques tout en désactivant certaines fonctionnalités du système - de sorte qu'ils ne peuvent pas se débarrasser de la page / image. Ceci est similaire à un environnement de bureau verrouillé. Cela ne signifie pas automatiquement que les fichiers de l'utilisateur ont été chiffrés ou supprimés.

Réfléchissez avant de payer

Une infection par un rançongiciel peut être dévastatrice. C'est indubitable. Cependant, être touché par un ransomware ne signifie pas automatiquement que vos données ont disparu pour toujours. Les développeurs de ransomwares ne sont pas tous des programmeurs incroyables. S'il existe une voie facile vers un gain financier immédiat, elle sera prise. Ceci, sachant que certains utilisateurs paieront 5 raisons pour lesquelles vous ne devriez pas payer les escrocs RansomwareLes ransomwares sont effrayants et vous ne voulez pas vous faire frapper - mais même si vous le faites, il y a des raisons impérieuses pour lesquelles vous ne devriez PAS payer cette rançon! Lire la suite en raison de la menace immédiate et directe. C'est parfaitement compréhensible.

Les meilleures méthodes d'atténuation des ransomwares restent: sauvegardez régulièrement vos fichiers sur un lecteur non en réseau, conservez votre antivirus suite et navigateurs Internet mis à jour, faites attention aux e-mails de phishing et soyez prudent lorsque vous téléchargez des fichiers l'Internet.

Crédit d'image: andras_csontos via Shutterstock.com