Ransomware : comment se protéger des ransomwares

Table des matières:

Anonim

Toutes les informations importantes sur les ransomewares

Les ransomwares sont des logiciels malveillants qui peuvent causer de graves dommages économiques aux personnes concernées. L'Office fédéral de la sécurité de l'information souligne dans une fiche d'information que les cyberattaques par ransomware sont en augmentation constante depuis 2016. Il est donc d'autant plus important que les utilisateurs s'informent sur le fonctionnement et la protection de ce ransomware.

Qu'est-ce qu'un ransomware ?

Ransomware : définition

Un ransomware est un malware qui crypte des programmes et des fichiers sur un ordinateur ou un serveur. Les criminels font chanter les entreprises, mais aussi les utilisateurs privés. Ils demandent de l'argent pour l'activation des données cryptées.

Le terme « ransomware » est composé du terme anglais « ransom », en allemand « ransom » et « software ». Le ransomware est donc un « logiciel de rançon ». En allemand, il est également appelé ransomware ou cheval de Troie de chantage. Un autre nom est « cheval de Troie de cryptage ».

Comment obtenez-vous le nom? Les cybercriminels créent un logiciel qui crypte tous les fichiers ou des fichiers importants sur un ordinateur ou un système informatique tiers. Certains logiciels de chantage verrouillent également l'ensemble de l'ordinateur. Les maîtres chanteurs ou les attaquants demandent alors une rançon à leurs victimes afin que les fichiers puissent être à nouveau décryptés ou les ordinateurs déverrouillés. Les criminels affichent généralement la demande de rançon directement sur l'écran de l'appareil concerné. Souvent, le paiement en bitcoins est requis afin que les autorités chargées de l'application des lois ne puissent pas facilement retracer le chemin de l'argent.

Les ransomwares sont introduits en contrebande dans des ordinateurs tiers via des logiciels malveillants, par exemple via des chevaux de Troie ou des virus informatiques.

Ransomware : types et variantes

Il existe essentiellement deux types différents de ransomware :

  • Screenlocker : ce ransomware verrouille l'écran ou l'utilisation de l'ordinateur infecté. Ce programme malveillant continue de pousser l'écran de verrouillage avec le message de chantage au premier plan, quel que soit le programme que l'utilisateur démarre. Une sous-variante de ce ransomware est le soi-disant "App-Locker". Ce programme malveillant empêche l'accès aux applications ou programmes sur l'ordinateur, la tablette ou le smartphone. Le ransomware bloque l'accès de l'ordinateur au serveur de l'application. Comme avec le casier d'écran classique, l'applocker envoie également à l'utilisateur un message sur le montant de la rançon demandé.
  • Crypteur de fichiers : avec cette variante, certains ou tous les fichiers de l'ordinateur infecté sont cryptés. Pour mettre l'accent sur l'extorsion, les criminels volent des photos ou des fichiers privés et menacent de les publier si l'argent demandé n'est pas payé à temps. Les chiffreurs de fichiers sont principalement implémentés en tant que chevaux de Troie de chiffrement, également appelés « chevaux de Troie cryptographiques ». Certains de ces programmes malveillants ne chiffrent que des zones individuelles, par exemple des photos ou des coordonnées bancaires. D'autres encodent l'ensemble du système informatique ou tous les fichiers sur un serveur. Le ransomware attaque la table des matières du disque dur de manière ciblée.

Il existe également des formes hybrides de ransomware qui combinent des enregistreurs d'application et d'écran ainsi que des crypteurs de fichiers. La récupération de tous les fichiers après l'attaque devient encore plus difficile pour les personnes concernées.

Info : Depuis quand les chevaux de Troie de chiffrement existent-ils ?

Faire chanter les utilisateurs d'ordinateurs avec des logiciels n'est pas une invention nouvelle. Le « AIDS Trojan Disc » était déjà en circulation en 1989. C'est un disque que le biologiste Joseph L. Popp a envoyé à 20 000 participants à la Conférence mondiale sur le sida. La disquette contenait un logiciel malveillant qui cryptait le disque dur de l'ordinateur concerné.

Le maître chanteur Popp a exigé 189 dollars américains de ses victimes pour l'activation des données. Les personnes concernées devraient transférer la somme à une société appelée "PC Cyborg" basée au Panama. Le nom de l'entreprise a finalement donné son nom au premier ransomware connu : « PC Cyborg Trojan ».

En 2011, le premier cheval de Troie de chiffrement a finalement été distribué sur Internet. C'était TROJ_PGPCODER.A. Les cybercriminels ont demandé une rançon de plusieurs centaines de dollars américains aux utilisateurs concernés afin de déverrouiller à nouveau l'ordinateur.

Comment fonctionne le ransomware et comment pénètre-t-il sur les ordinateurs ?

Contrairement aux virus informatiques ou aux vers Internet, les ransomwares sont généralement des logiciels plus complexes. Parce que le malware doit d'abord accéder à l'ordinateur et y bloquer ou crypter les fichiers. Un travail de programmation plus poussé est nécessaire pour cela.

Contrairement à la complexité de la programmation, la propagation d'un ransomware est simple et similaire à l'infection par des vers informatiques ou des virus. Par exemple, le logiciel malveillant peut s'introduire sur un ordinateur via des pièces jointes de courrier électronique infectées ou via des sites Web manipulés. En cliquant sur une pièce jointe à un e-mail compromise ou sur un site Web infecté, le ransomware démarre. Il s'installe sur l'ordinateur.

Après l'installation, le ransomware détermine où se trouve le disque dur du système et où se trouvent les fichiers à chiffrer. Il génère ensuite une clé et écrase l'enregistrement de démarrage principal.

Le cryptage ou le verrouillage de l'écran n'est alors pas toujours immédiat. Selon le type de programmation, les pirates criminels peuvent crypter les données à un moment donné. Parfois, certains déclencheurs sont programmés, c'est-à-dire les conditions dans lesquelles le ransomware devient actif.

Dès qu'il démarre, le système de fichiers existant est écrasé et crypté par le ransomware. Après le redémarrage, les informations sur l'extorsion avec un ordre de paiement apparaîtront sur l'écran de l'ordinateur. Le logiciel est généralement programmé de manière à ce que le message apparaisse à chaque clic de souris ou à chaque frappe.

Certains pirates programment le ransomware de manière à ce qu'une partie des données cryptées soit toujours bloquée lorsque l'ordinateur est redémarré. D'autres méthodes de chantage prévoient la suppression après une certaine période de temps, au cours de laquelle aucun argent n'est transféré.

Info:

Même si programmer un ransomware n'est pas anodin, il est généralement facile pour les pirates d'acheter des programmes. Le Darknet joue ici un rôle important. Des ensembles complets de logiciels de chantage y sont disponibles à l'achat. Les poursuites sur le Darknet sont difficiles pour les autorités, car l'identité du fournisseur ne peut y être déterminée qu'avec beaucoup d'efforts techniques.

Comment exactement les maîtres chanteurs gagnent-ils de l'argent avec ?

Après une attaque de ransomware, les maîtres chanteurs fournissent des informations sur les modalités de paiement sur une page séparée.

Le paiement en Bitcoin à peine traçable ou via les cartes Paysafe ou Ukash est courant. Les cybercriminels promettent sur la page affichée qu'ils transmettront le code de décryptage dès que l'argent aura été transféré. Cependant, les consommateurs ne devraient pas automatiquement s'attendre à ce que l'extorsion se termine par le paiement.

Selon la taille et l'importance des données cryptées, les maîtres chanteurs facturent quelques centaines à plusieurs milliers de dollars ou d'euros.

Comment reconnaître un ransomware ?

Malheureusement, la plupart des utilisateurs ne reconnaissent les ransomwares qu'une fois que le PC a déjà été infecté. Ensuite, une demande de rançon apparaît sur l'écran bloqué indiquant que l'ordinateur a été verrouillé ou que les fichiers ont été cryptés. De nombreux utilisateurs ne peuvent alors plus retracer le moment où leur ordinateur a été infecté, par exemple avec une pièce jointe à un e-mail.

Dans certains cas, les programmes antivirus déclenchent une alarme après l'exécution d'une analyse antivirus. Cependant, tous les programmes de protection antivirus ne détectent pas les ransomwares. Cela s'applique également aux logiciels qui n'utilisent pas les dernières définitions de virus. La détection des ransomwares est rendue plus difficile par la protection antivirus car le ransomware se supprime souvent automatiquement après l'exécution de la fonction malveillante.

Voici comment vous protéger contre les ransomwares

Comme d'autres malwares, les ransomwares utilisent des failles de sécurité dans les systèmes d'exploitation, les applications et les logiciels ainsi qu'une protection insuffisante contre les antivirus pour s'installer sur un ordinateur ou un smartphone. Vous pouvez utiliser ces mesures pour empêcher les ransomwares.

Créez des sauvegardes de vos données:

Les cybercriminels utilisent des ransomwares pour menacer de supprimer vos fichiers. C'est donc une mesure efficace pour sauvegarder régulièrement tous les fichiers importants. Il est préférable d'utiliser un support de stockage hors ligne tel que des disques durs externes. Déconnectez toujours ce disque dur de l'ordinateur après l'enregistrement. Il s'agit de s'assurer qu'aucun pirate informatique ne peut y accéder. Il est également toujours conseillé de créer une sauvegarde du système. Si un pirate a supprimé votre système d'exploitation et tous les fichiers qu'il contient, vous pouvez facilement le restaurer avec la sauvegarde. Effectuez des sauvegardes régulièrement.

Utilisez un programme antivirus doté d'une protection contre les ransomwares:

En utilisant un programme antivirus, vous réduisez le risque d'être victime d'un logiciel de chantage. Installez toujours les mises à jour nécessaires et les mises à jour des définitions de virus.

Mettez toujours à jour votre système d'exploitation avec de nouvelles mises à jour:

Les mises à jour des systèmes d'exploitation sont importantes pour la sécurité de votre PC, car elles comblent généralement également les failles de sécurité.

Mettez à jour votre logiciel:

Qu'il s'agisse de navigateurs ou de programmes bureautiques, seuls les logiciels mis à jour offrent une sécurité de base suffisante. Les programmes actuels empêchent, par exemple, les ransomwares d'entrer par des failles de sécurité connues.

Plugins de navigateur:

De nombreux programmes de protection antivirus proposent des plug-ins de navigateur qui détectent les scripts malveillants et empêchent l'accès aux sites Web infectés.

Analyseur d'e-mails:

Activez le scanner de messagerie de votre logiciel antivirus. Ces programmes vous empêchent d'ouvrir les pièces jointes infectées. La protection antivirus peut mettre en quarantaine et supprimer directement les ransomwares.

Utilisez un compte invité pour vous connecter:Si vous vous connectez toujours à votre PC en tant qu'administrateur, les criminels peuvent utiliser des ransomwares pour accéder encore plus facilement à toutes les zones sensibles de votre ordinateur. Cependant, si vous utilisez votre PC en tant qu'invité avec des droits restreints, les criminels ne peuvent pas pénétrer votre système informatique aussi profondément et sont limités dans leurs options.

J'ai un ransomware sur mon ordinateur - que dois-je faire ?

Si votre ordinateur est affecté par un ransomware, vous devez rester calme pour le moment, malgré le message à l'écran.

  1. Consultez le Web pour voir s'il y a eu des attaques similaires à la vôtre. De nombreux maîtres chanteurs mentionnent également le type de cheval de Troie qu'ils ont avec la demande de rançon. Souvent, les maîtres chanteurs autorisent toujours la fonction de navigateur. Après tout, la rançon doit généralement être payée en ligne et via le réseau Tor. Si vous connaissez le type d'infection, vous pouvez généralement trouver des solutions adaptées sur Internet pour vous débarrasser du ransomware. Un point de contact possible est "ID Ransomware". Vous y trouverez des solutions sur la façon de briser le cryptage par un ransomware connu.

  2. Alertez la police si des données ont déjà été volées ou supprimées.

  3. Si vous avez une sauvegarde de vos données, vous pouvez essayer de vous débarrasser du ransomware avec un antivirus ou un antivirus en ligne. Après l'avoir supprimé, vous devez redémarrer votre système d'exploitation. Vous pouvez ensuite transférer les données de la sauvegarde vers votre ordinateur.

Supprimer le ransomware : voici comment

La seule façon de supprimer le ransomware est de l'analyser avec un antivirus à jour. Par conséquent, vous devez toujours exécuter votre PC avec un puissant programme antivirus.

Lancez une analyse antivirus avec. Si le ransomware a été supprimé après son démarrage, de nombreux scanners ne reconnaissent plus le malware. La seule chose qui peut aider ici est de réinstaller le système d'exploitation.

Ransomware connu

Ces dernières années, une variété de ransomwares ont nui aux consommateurs et aux entreprises du monde entier.

  • Petya : Ce malware a provoqué le redémarrage des PC et rendu les fichiers sur les machines affectées méconnaissables par l'ordinateur. Petya n'a donc pas chiffré les fichiers, mais en a empêché l'accès. Les pirates ont placé la demande de rançon derrière Petya sur l'écran de verrouillage. Cependant, depuis sa première apparition en 2016, Petya a été décrypté. En conséquence, pratiquement aucun dommage ne peut être fait aujourd'hui avec le fichier d'origine.
  • Verrouillage : Le ransomware Locy s'est également répandu en 2016. Elle utilisait principalement des pièces jointes aux e-mails. Les principales victimes étaient les établissements de santé. À Los Angeles, un hôpital a payé 17 000 $ pour récupérer les dossiers des patients. Fin 2016, les attaques ont presque disparu à nouveau.
  • Vouloir pleurer: En 2022-2023, le ransomware Wannacry s'est rapidement répandu dans le monde. Il a exploité une faille de sécurité dans le système d'exploitation Windows, en particulier dans Windows 7. Après que Windows ait fourni des correctifs à ses utilisateurs, la faille de sécurité a été fermée. Les services secrets américains NSA ont joué un rôle essentiel dans Wannacry. Il connaissait la vulnérabilité bien avant qu'elle ne soit utilisée par des pirates informatiques à des fins criminelles. Wannacry a touché non seulement des particuliers, mais des entreprises du monde entier, y compris la Deutsche Bahn, les constructeurs automobiles Nissan et Renault, les banques chinoises et les ministères de pays du monde entier.

Conclusion : les ransomwares sont dangereux, mais avec la prévention et la protection, ils peuvent être évités

Les ransomwares peuvent causer de gros dégâts et, surtout, créer de l'incertitude chez les utilisateurs. Cependant, si vous prenez des précautions avec des sauvegardes et des programmes à jour ainsi qu'une protection antivirus à jour, vous pouvez réduire le risque d'infection par un ransomware.