Spywares et virus

L’épidémie de ransomware et ce que vous pouvez faire à ce sujet

Posted by admin

Qu’est-ce que Ransomware

Aujourd’hui, le ransomware est une épidémie basée sur un logiciel malveillant insidieux que les cybercriminels utilisent pour vous extorquer de l’argent en détenant votre ordinateur ou vos fichiers informatiques contre une rançon et vous exigeant un paiement pour les récupérer. Malheureusement, les ransomwares sont en train de devenir un moyen de plus en plus populaire pour les auteurs de logiciels malveillants d’extorquer de l’argent aux entreprises et aux consommateurs. Si cette tendance se poursuit, les ransomwares affecteront bientôt les appareils IoT, les automobiles, les systèmes ICS et SCADA, ainsi que les terminaux informatiques. Il existe plusieurs façons dont Ransomware peut accéder à l’ordinateur de quelqu’un, mais la plupart d’entre elles sont le résultat de tactiques d’ingénierie sociale ou de l’utilisation de vulnérabilités logicielles pour s’installer silencieusement sur l’ordinateur d’une victime.

Depuis l’année dernière et même avant cela, les auteurs de logiciels malveillants ont envoyé des vagues de spams ciblant différents groupes. Il n’y a pas de limite géographique sur les personnes qui peuvent être influencées, et bien que les e-mails étaient initialement destinés aux utilisateurs finaux individuels, puis aux petites et moyennes entreprises, l’entreprise est désormais la cible idéale.

Outre l’ingénierie sociale du phishing et du spear-phishing, les ransomwares se propagent également via les ports de bureau externes. Les ransomwares affectent également les fichiers accessibles sur des disques dédiés, y compris les disques durs externes tels que les clés USB, les disques externes ou les dossiers sur le réseau ou dans le cloud. Si vous avez un dossier OneDrive sur votre ordinateur, ces fichiers peuvent être affectés, puis synchronisés avec les versions Cloud.

Personne ne peut dire avec une certitude précise la quantité de logiciels malveillants de ce type dans la nature. Étant donné qu’une grande partie de cela se produit dans des e-mails non ouverts et que de nombreuses infections ne sont pas signalées, il est difficile de le dire.

L’impact sur les personnes concernées est que les fichiers de données sont cryptés et que l’utilisateur final doit décider, sur la base d’un compte à rebours, de payer la rançon ou de perdre les données à jamais. Les fichiers concernés sont généralement des formats de données populaires tels que les fichiers Office, la musique, le PDF et d’autres fichiers de données populaires. Les souches plus avancées suppriment les “clichés instantanés” de l’ordinateur qui, autrement, permettraient à l’utilisateur de revenir à un moment antérieur. De plus, les points de restauration de l’ordinateur sont détruits ainsi que les fichiers de sauvegarde accessibles. La façon dont le processus est géré par le criminel est qu’il dispose d’un serveur de commande et de contrôle contenant la clé privée des fichiers de l’utilisateur. Ils appliquent une minuterie à la destruction de la clé privée, et les demandes et le compte à rebours sont affichés sur l’écran de l’utilisateur avec un avertissement que la clé privée sera détruite à la fin du compte à rebours à moins que la rançon ne soit payée. Les fichiers eux-mêmes persistent sur l’ordinateur, mais ils sont cryptés, inaccessibles même par force brute.

Dans de nombreux cas, l’utilisateur final paie simplement la rançon et ne voit aucune issue. Le FBI ne recommande pas de payer la rançon. En payant la rançon, vous financez d’autres activités de ce type et rien ne garantit que vous récupérerez vos fichiers. De plus, le secteur de la cybersécurité est de mieux en mieux face aux ransomwares. Au moins un des principaux éditeurs de logiciels anti-malware a publié un produit de «décryptage» la semaine dernière. Cependant, il reste à voir dans quelle mesure cet outil sera efficace.

Que faire maintenant

Il y a plusieurs perspectives à considérer. L’individu veut récupérer ses fichiers. Au niveau de l’entreprise, ils veulent que les actions reviennent et que les actifs soient protégés. Au niveau de l’entreprise, ils veulent tout ce qui précède et doivent être en mesure de démontrer leur diligence raisonnable pour éviter de contaminer les autres avec quoi que ce soit déployé ou expédié par l’entreprise pour les protéger du délit massif qui frappera inévitablement dans un avenir pas si lointain.

En général, il est peu probable que les fichiers eux-mêmes, une fois chiffrés, deviennent non chiffrés. La meilleure tactique est donc la prévention.

Sauvegardez vos données

La meilleure chose à faire est de faire des sauvegardes régulières sur un support hors ligne, en conservant plusieurs versions des fichiers. Avec un support hors ligne, tel qu’un service de sauvegarde, une bande ou un autre support permettant des sauvegardes mensuelles, vous pouvez toujours revenir aux anciennes versions des fichiers. Assurez-vous également de sauvegarder tous les fichiers de données – certains peuvent être sur des lecteurs USB ou des lecteurs mappés ou des clés USB. Tant que le logiciel malveillant peut accéder aux fichiers de niveau écriture, ils peuvent être cryptés et détenus contre une rançon.

Éducation et sensibilisation

Un élément crucial dans le processus de prévention des infections par Ransomware est de sensibiliser vos utilisateurs finaux et votre personnel aux vecteurs d’attaque, en particulier le SPAM, le phishing et le spear-phishing. Presque toutes les attaques de Ransomware réussissent parce qu’un utilisateur final a cliqué sur un lien qui semblait inoffensif ou a ouvert une pièce jointe qui semblait provenir d’une personne célèbre. En sensibilisant et en éduquant le personnel sur ces risques, ils peuvent devenir une ligne de défense vitale contre cette menace insidieuse.

Afficher les extensions de fichier cachées

La plupart du temps, Windows masque les extensions de fichiers connues. L’activation de la possibilité de voir toutes les extensions de fichiers dans les e-mails et sur votre système de fichiers facilite la détection des fichiers de code malveillant suspects se faisant passer pour des documents conviviaux.

Filtrer les exécutables dans les e-mails

Si votre analyseur d’e-mails de passerelle peut filtrer les fichiers par extension, vous souhaiterez peut-être rejeter les e-mails envoyés avec des pièces jointes * .exe. Utilisez un service cloud de confiance pour envoyer ou recevoir des fichiers * .exe.

Empêcher les fichiers d’être exécutés à partir de dossiers de fichiers temporaires

Tout d’abord, vous devez autoriser l’affichage des fichiers et des dossiers cachés dans l’explorateur afin de pouvoir voir les données de l’application et les dossiers de données du programme.

Avec votre logiciel anti-malware, vous pouvez créer des règles pour empêcher l’exécution des exécutables à partir des appdata et des dossiers locaux de votre profil et du dossier de données de programme de l’ordinateur. Des exclusions peuvent être définies pour les programmes légitimes.

Désactiver RDP

S’il est pratique de le faire, désactivez RDP (Remote Desktop Protocol) sur les cibles matures telles que les serveurs, ou bloquez-les de l’accès Internet, en les forçant via un VPN ou une autre route sécurisée. Certaines versions de Ransomware tirent parti des exploits que Ransomware peut déployer sur un système cible compatible RDP. Il existe plusieurs articles techniques décrivant comment désactiver RDP.

Corrigez et mettez à jour tout

Il est essentiel que vous restiez au courant de vos mises à jour Windows et de vos mises à jour antivirus pour éviter les exploits de Ransomware. Il n’est pas si évident qu’il soit tout aussi important de se tenir à jour avec tous les logiciels Adobe et Java. N’oubliez pas que votre sécurité est aussi bonne que votre maillon le plus faible.

Utilisez une approche à plusieurs niveaux pour Endpoint Protection

Le but de cet article n’est pas d’approuver un produit final par rapport à un autre, mais de recommander une méthodologie que l’industrie adopte rapidement. Vous devez comprendre qu’en tant que forme de malware, les ransomwares proviennent d’une faible sécurité des terminaux. Si vous renforcez la sécurité des terminaux, Ransomware ne se propage pas aussi facilement. Un rapport publié la semaine dernière par le Institut de technologie des infrastructures critiques (ICIT) recommande une approche à plusieurs niveaux, en se concentrant sur la surveillance heuristique basée sur le comportement pour empêcher l’acte de cryptage de fichiers non interactif (ce que fait Ransomware), tout en exécutant une suite de sécurité ou un anti-malware de point final connu pour détecter et arrêter Ransomware. Il est important de comprendre que les deux sont nécessaires, car bien que de nombreux programmes antivirus détectent les souches connues de ce cheval de Troie méchant, les souches inconnues du jour zéro devront être arrêtées par leur comportement de cryptage, de changement de fond d’écran et de communication via le pare-feu à leur commande. et centre de contrôle.

Que faire si vous pensez être infecté

Déconnectez-vous immédiatement d’un réseau Wi-Fi ou d’entreprise. Vous pourrez peut-être arrêter la communication avec le serveur de commande et de contrôle avant que le cryptage de vos fichiers ne soit terminé. Vous pouvez également empêcher Ransomware sur votre ordinateur de crypter les fichiers sur les lecteurs réseau.

Utiliser la restauration du système pour revenir à un état propre connu

Si vous avez activé la restauration du système sur votre ordinateur Windows, vous pourrez peut-être restaurer votre système à un point de restauration précédent. Cela ne fonctionnera que si la souche de Ransomware que vous avez n’a pas encore détruit vos points de restauration.

Démarrez à partir d’une disquette de démarrage et exécutez votre logiciel antivirus

Le démarrage à partir d’un disque de démarrage ne peut démarrer aucun des services du registre, y compris l’agent Ransomware. Vous pourrez peut-être utiliser votre programme antivirus pour supprimer l’agent.

Les utilisateurs avancés peuvent être en mesure de faire plus

Ransomware intègre des exécutables dans le dossier Appdata de votre profil. De plus, les entrées des clés Run et Runonce du registre lancent automatiquement l’agent Ransomware au démarrage de votre système d’exploitation. Un utilisateur avancé devrait pouvoir le faire

a) Exécutez une analyse antivirus approfondie des points de terminaison pour supprimer le programme d’installation de Ransomware

b) Démarrez l’ordinateur en mode sans échec sans Ransomware en cours d’exécution, ou mettez fin au service.

c) Retirez les encodeurs

d) Récupérez des fichiers cryptés à partir de sauvegardes hors ligne.

e) Installer une protection de point d’extrémité en couches, y compris une protection comportementale et de signature, pour empêcher la réinfection.

Leave A Comment