Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Les ransomwares à chiffrement restent cachés

Lu par: 31064 Commentaires: 4 Cote de popularité: 9

lundi 17 septembre 2018

Il semble que les ransomwares à chiffrement aient été moins présents ces derniers temps.

Remarque d’une personne travaillant dans un centre de service de réparation de PC lors d’une session de formation pour les partenaires de Doctor Web.

Les gens nous demandent souvent comment nous traitons les ransomwares à chiffrement.

Hélas, leurs créateurs ont récemment commencé à prendre en compte les remarques des chercheurs en sécurité sur les lacunes de leurs malwares. De plus, les concepteurs de virus se moquent même des chercheurs en les remerciant pour leur assistance.

Les auteurs de GandCrab aiment se référer à différents chercheurs, entreprises et sites web. Cette fois, ils ont remercié le professeur Daniel J. Bernstein qui a inventé le chiffrement Salsa20.

@hashbreaker Daniel J. Bernstein let's dance salsa <3

https://www.anti-malware.ru/news/2018-07-04-1447/26718

Mais tout ne va pas si mal ! Voici un exemple récent extrait de notre tracker de support technique.

My home NAS was compromised. Of course, just like many other people probably do, I also kept my work-related files in the storage. The files are important for several of our departments, not just mine.
« Mon NAS maison était compromis. Bien entendu, comme beaucoup de monde doit le faire, j’ai aussi conservé mes fichiers professionnels dans un stockage. Les fichiers sont importants pour plusieur de nos départements, pas uniquement le mien. »

Pour une raison ou une autre, le Trojan.Encoder.25389 avait choisi de cibler les données dans le stockage lié au réseau, raison pour laquelle l’utilisateur ne pouvait pas détecter son activité malveillante rapidement. Ce choix intelligent permettait au malware de chiffrer des données vraiment importantes (les stockages sont généralement utilisés pour sauvegarder des données de valeur).

Il se trouve que cette personnée était un utilisaeur averti. Il a donc immédiatement joint le fichier du Trojan, la demande rançon et trois échantillons chiffrés à sa requête. Par chance, nous avons été en mesure de déchiffrer les fichiers. L’utilisateur nous a remercié :

To say that your program has helped me not only as a user but also as a legal organisation is a gross understatement.
“Dire que votre logiciel m’a aidé non seulement moi mais également mon entreprise est un euphémisme”.

C’est super !

D’ailleurs, le Trojan.Encoder.25389 est un successeur du Trojan.Encoder.94 sur lequel nous avons publié un article en 2012. Pour nous, le Trojan.Encoder.94 se démarque des autres ransomwares parce que sa neutralisation a été le fruit d’une coopération entre plusieurs pays, nous avons entre autres été contactés par le CERT de Slovénie pour partager nos expériences.

Le projet Lumières sur la sécurité recommande

  1. Si vous n’utilisez pas certains composants systèmes, désactivez-les.
  2. Sauvegardez vos données sous différents comptes utilisateurs (et non le compte habituel).
  3. N’oubliez pas de faire un back up de vos données : les fichiers chiffrés ne peuvent pas souvent restaurés.
  4. Les ransomwares à chiffrement existent toujours ! Et Dr.Web est avec vous, comme toujours.☺

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs